System UDP на 65535 порт
 

Новый компьютер, со свежеустановленными лицензионными Windows 7, антивирусом и фаерволлом, подключил к сети с помощью ADSL модема в режиме роутера. Настройки фаерволла и модема сделал аналогично настройкам другого компа, который успешно работает.

Тем не менее, не смог загрузить ни одну страницу.

Посмотрел логи фаерволла. Там заблокированные исходящие UDP соединения процесса System, порт назначения 65535, адрес назначения - DNS, предоставленные провайдером. Разрешил эти подключения - всё заработало, сайты загружаются.

Посмотрел логи фаерволла на другом компе, успешно работающем. В них присутствуют заблокированные исходящие UDP процесса System, порт источника 1025, порт назначения 65535, IP назначения - либо DNS провайдера, либо адреса некоторых посещаемых сайтов, вполне респектабельных, есть и 89.108.123.52. Хотя эти подключения заблокированы, всё работает.

Два компа не соединены в локальной сети, никакие данные с одного на другой не переносились. Подключены к одному провайдеру, модемы одной и той же модели.

Вопросы: что это за подключение (исходящее System UDP на 65535 порт), для чего оно пытается соединиться с некоторыми посещаемыми сайтами и DNS?

(Торрент? :idontnow: )

Нет, торрентом не пользуюсь.

Некоторые дополнительные наблюдения:
На компе с Windows 7 в качестве порта источника для этого соединения постоянно используется 49152 порт. Когда происходит обновление Windows, оно пытается соединиться с IP, с которого происходит обновление, при обновлении антивируса - с IP обновления антивируса, при посещении сайтов - с IP этих сайтов. Всё время порт назначения 65535. Все эти подключения заблокированы (кроме обращений к DNS) и всё работает нормально, включая обновление Windows, обновление антивируса и просмотр сайтов.

На компе с Windows XP всё то же самое, только порт источника - 1025, эти подключения происходят несколько реже, и это подключение заблокировано для всех IP назначения, включая DNS. И опять-таки всё работает без видимых проблем.

DNS запросы разрешают только для доверенного софта (браузеры, сетевой софт). Браузеры можно сделать полностью доверенными. Чтобы системные процессы не лезли, это надо все лишнее в системе отключать (службы, поддержку сетей MS и т.д.)

Сети MS отключены, на Windows 7 отключил IPv6 в реестре.

На обоих компах отключены, например, службы Сервер, Рабочая станция, Браузер компьютеров, Удалённый реестр, NetBIOS через TCP/IP, Служба терминалов (XP), Публикация ресурсов обнаружения функции (7), Диспетчер сеанса справки для уд.рабочего стола.

Но вопрос ведь не только в том, что бы такое отключить, чтобы System не лез в сеть. Если я не пускал System на 65535 порт DNS, сайты не загружались. И это на только что установленной системе, где нет ничего, кроме Windows 7, антивируса и фаерволла. И для меня это совершенно непонятно.

Загрузка - вопрос конкретного софта. Можно было отследить, на каком этапе не пускало - DNS-запрос или запрос на хост сайта. Брандмауэры работают на уровне приложений, протоколов, портов, адресов - чтобы узнать конкретную причину нужно смотреть все запросы в реальном времени.

Когда я просматривал логи фаерволла, относящиеся к времени моих безуспешных попыток загрузить пару-тройку сайтов, то заметил вот что. Там есть записи типа "Заблокировано исходящее UDP System, порт источника 49152, порт назначения 65535, IP назначения x.x.x.x", где IP назначения - это IP сайтов, которые я пытался загрузить (и которые не отображались), а также IP DNS.

Потом я разрешил подключение System UDP на 65535 порт только для DNS - и всё сразу заработало. В логах по-прежнему заблокированные попытки этого подключения к IP посещаемых сайтов, но тем не менее всё работает.

это мб активность самого брандмауэра (если это встроенный)...

Встроенный брандмауэр отключён.

У меня мелькнула мысль, что это связано с некоторыми настройками в IE (на Windows 7 я ничего не ставил, так что использовал именно IE) - включить Smart Screen, "проверять подлинность сайтов", "проверять, не отозван ли сертификат сервера". Но на другом компе я IE не использую, а симптомы сходные, только порт источника 1025, а также всё загружается, несмотря на полный запрет выхода этого процесса в сеть (и подключение к DNS в том числе запрещено).

При внимательном изучении логов обнаружил, что вначале System пытается подключитья к 224.0.0.252 (UDP исходящий порт 49152, порт назначения 65535). Этот мультикастовый адрес использует сервис под названием LLMNR (только в описании сказано, что LLMNR использует 5355 порт). Отключил LLMNR в реестре - исходящих на 224.0.0.252 больше нет, но System продолжает долбиться на 65535 порт DNS.

Стал отключать разные службы, пытаясь определить, не даст ли это какого-то результата. Оказалось, что включение и выключение службы DNS клиент оказывает воздействие.

Первый вариант - служба DNS клиент включена. System (PID 4) пытается соединиться с DNS, порт назначения 65535, исходящий порт 49152. Если это подключение заблокировать, сайты не загружаются. Обращений к IP сайтов не происходит. В активных подключениях нет никаких соединений с DNS, в том числе svchost.exe на 53 порт.

Если разрешить подключение System UDP исходящее на 65535 порт DNS, то всё загружается. В активных подключениях есть svchost.exe, исходящее UDP подключение к 53 порту DNS.

Второй вариант - служба DNS клиент выключена. System (PID 4) пытается соединиться с DNS, порт назначения 65535, исходящий порт 49152. Если это подключение заблокировать, сайты загружаются. Весь софт, взаимодействующий с сетью, запрашивает подключение к DNS (UDP порт назначения 53). В активных подключениях нет svchost.exe вообще. Обновления Windows не происходит (возвращает ошибку), хотя для svchost.exe есть разрешение на соединение с диапазоном IP Windows update. В логах фаерволла нет записей о блокировании svchost.

netstat -a дает, в частности, такую строку UDP 0.0.0.0:49152 *:* netstat -abn говорит что (дословно не помню, но по смыслу) "не удается определить владельца этого подключения".

Буду признателен, если мне пояснят, что же это за подключение.