Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   System UDP на 65535 порт (http://forum.oszone.net/showthread.php?t=194006)

Atle 14-12-2010 22:21 1565988

System UDP на 65535 порт
 
Новый компьютер, со свежеустановленными лицензионными Windows 7, антивирусом и фаерволлом, подключил к сети с помощью ADSL модема в режиме роутера. Настройки фаерволла и модема сделал аналогично настройкам другого компа, который успешно работает.

Тем не менее, не смог загрузить ни одну страницу.

Посмотрел логи фаерволла. Там заблокированные исходящие UDP соединения процесса System, порт назначения 65535, адрес назначения - DNS, предоставленные провайдером. Разрешил эти подключения - всё заработало, сайты загружаются.

Посмотрел логи фаерволла на другом компе, успешно работающем. В них присутствуют заблокированные исходящие UDP процесса System, порт источника 1025, порт назначения 65535, IP назначения - либо DNS провайдера, либо адреса некоторых посещаемых сайтов, вполне респектабельных, есть и 89.108.123.52. Хотя эти подключения заблокированы, всё работает.

Два компа не соединены в локальной сети, никакие данные с одного на другой не переносились. Подключены к одному провайдеру, модемы одной и той же модели.

Вопросы: что это за подключение (исходящее System UDP на 65535 порт), для чего оно пытается соединиться с некоторыми посещаемыми сайтами и DNS?

Erekle 16-12-2010 03:15 1566919

(Торрент? :idontnow: )

Atle 16-12-2010 12:17 1567139

Нет, торрентом не пользуюсь.

Некоторые дополнительные наблюдения:
На компе с Windows 7 в качестве порта источника для этого соединения постоянно используется 49152 порт. Когда происходит обновление Windows, оно пытается соединиться с IP, с которого происходит обновление, при обновлении антивируса - с IP обновления антивируса, при посещении сайтов - с IP этих сайтов. Всё время порт назначения 65535. Все эти подключения заблокированы (кроме обращений к DNS) и всё работает нормально, включая обновление Windows, обновление антивируса и просмотр сайтов.

На компе с Windows XP всё то же самое, только порт источника - 1025, эти подключения происходят несколько реже, и это подключение заблокировано для всех IP назначения, включая DNS. И опять-таки всё работает без видимых проблем.

Sham 16-12-2010 14:43 1567250

DNS запросы разрешают только для доверенного софта (браузеры, сетевой софт). Браузеры можно сделать полностью доверенными. Чтобы системные процессы не лезли, это надо все лишнее в системе отключать (службы, поддержку сетей MS и т.д.)

Atle 16-12-2010 16:28 1567332

Цитата:

Цитата Sham
Чтобы системные процессы не лезли, это надо все лишнее в системе отключать (службы, поддержку сетей MS и т.д.) »

Сети MS отключены, на Windows 7 отключил IPv6 в реестре.

На обоих компах отключены, например, службы Сервер, Рабочая станция, Браузер компьютеров, Удалённый реестр, NetBIOS через TCP/IP, Служба терминалов (XP), Публикация ресурсов обнаружения функции (7), Диспетчер сеанса справки для уд.рабочего стола.

Но вопрос ведь не только в том, что бы такое отключить, чтобы System не лез в сеть. Если я не пускал System на 65535 порт DNS, сайты не загружались. И это на только что установленной системе, где нет ничего, кроме Windows 7, антивируса и фаерволла. И для меня это совершенно непонятно.

Sham 16-12-2010 16:49 1567355

Загрузка - вопрос конкретного софта. Можно было отследить, на каком этапе не пускало - DNS-запрос или запрос на хост сайта. Брандмауэры работают на уровне приложений, протоколов, портов, адресов - чтобы узнать конкретную причину нужно смотреть все запросы в реальном времени.

Atle 16-12-2010 17:13 1567375

Когда я просматривал логи фаерволла, относящиеся к времени моих безуспешных попыток загрузить пару-тройку сайтов, то заметил вот что. Там есть записи типа "Заблокировано исходящее UDP System, порт источника 49152, порт назначения 65535, IP назначения x.x.x.x", где IP назначения - это IP сайтов, которые я пытался загрузить (и которые не отображались), а также IP DNS.

Потом я разрешил подключение System UDP на 65535 порт только для DNS - и всё сразу заработало. В логах по-прежнему заблокированные попытки этого подключения к IP посещаемых сайтов, но тем не менее всё работает.

Sham 16-12-2010 17:22 1567382

это мб активность самого брандмауэра (если это встроенный)...

Atle 16-12-2010 17:40 1567402

Встроенный брандмауэр отключён.

У меня мелькнула мысль, что это связано с некоторыми настройками в IE (на Windows 7 я ничего не ставил, так что использовал именно IE) - включить Smart Screen, "проверять подлинность сайтов", "проверять, не отозван ли сертификат сервера". Но на другом компе я IE не использую, а симптомы сходные, только порт источника 1025, а также всё загружается, несмотря на полный запрет выхода этого процесса в сеть (и подключение к DNS в том числе запрещено).

Atle 20-12-2010 11:20 1570261

При внимательном изучении логов обнаружил, что вначале System пытается подключитья к 224.0.0.252 (UDP исходящий порт 49152, порт назначения 65535). Этот мультикастовый адрес использует сервис под названием LLMNR (только в описании сказано, что LLMNR использует 5355 порт). Отключил LLMNR в реестре - исходящих на 224.0.0.252 больше нет, но System продолжает долбиться на 65535 порт DNS.

Стал отключать разные службы, пытаясь определить, не даст ли это какого-то результата. Оказалось, что включение и выключение службы DNS клиент оказывает воздействие.

Первый вариант - служба DNS клиент включена. System (PID 4) пытается соединиться с DNS, порт назначения 65535, исходящий порт 49152. Если это подключение заблокировать, сайты не загружаются. Обращений к IP сайтов не происходит. В активных подключениях нет никаких соединений с DNS, в том числе svchost.exe на 53 порт.

Если разрешить подключение System UDP исходящее на 65535 порт DNS, то всё загружается. В активных подключениях есть svchost.exe, исходящее UDP подключение к 53 порту DNS.

Второй вариант - служба DNS клиент выключена. System (PID 4) пытается соединиться с DNS, порт назначения 65535, исходящий порт 49152. Если это подключение заблокировать, сайты загружаются. Весь софт, взаимодействующий с сетью, запрашивает подключение к DNS (UDP порт назначения 53). В активных подключениях нет svchost.exe вообще. Обновления Windows не происходит (возвращает ошибку), хотя для svchost.exe есть разрешение на соединение с диапазоном IP Windows update. В логах фаерволла нет записей о блокировании svchost.

netstat -a дает, в частности, такую строку UDP 0.0.0.0:49152 *:* netstat -abn говорит что (дословно не помню, но по смыслу) "не удается определить владельца этого подключения".

Буду признателен, если мне пояснят, что же это за подключение.


Время: 07:17.

Время: 07:17.
© OSzone.net 2001-