Имеется Win XP SP3, белый IP, DHCP-клиент включен. Каждый раз после втыкания сетевого кабеля создается исходящее соединение процессом SVCHOST.EXE: UDP OUT Source 0.0.0.0:68 Destination 255.255.255.255:67, которое исчезает после присвоения IP-адреса DHCP-сервером. Общая продолжительность соединения несколько секунд. Тут все понятно. Но сегодня картина резко поменялась. После присвоения IP описанное выше соединение, судя по монитору Comodo, продолжилось. Примерно через 20 минут Comodo сообщал уже о 30 МБ переданных данных…В то же время ТСPView этого соединения не показывает. Вопрос, а есть ли оно вообще?
Похожий глюк начал замечать после установки Comodo 5.8, пару раз соединение продолжалось Firefox-ом около получаса, хотя никакой активности браузера за это время не было (была открыта пустая вкладка, ничего не скачивалось, обновление Огнелиса и плагинов отключено). Кто-нибудь замечал что-то похожее? ???
Hause, я бы предложил посмотреть это дело сниффером… Да, снова стандартный совет поглядеть вайршарком. Так у нас будет материал для обсуждения, пока не понятно, что с этим DHCP. Касательно файрфокса, в принципе, поскольку HTTP 1.1 не разрывает коннект после каждого файла, соединения могут и “висеть” какое-то время… Хотя полчаса как-то и многовато…
ntoskrnl, дело в том, что соединение не просто висело в файрфоксе, а усиленно что-то качало, метров 50 помнится чего-то приняло (судя по монитору Comodo). Я тогда подумал, мож глюк какой Огнелиса, перезапустил его с очисткой кэша и все дальше было как обычно. Но когда svchost.exe начал качать что-то, я и глянул в TCPView.
А, вон оно чего… Тогда моё предложение про сниффер ещё более в силе. Сами понимаете, независимая проверка… Или попробуйте временно какой-нибудь счётчик, в принципе NetLimiter совершенно нормально уживается с CIS. А так сходу даже не знаю, что придумать, сам ни разу не замечал, тоже понаблюдаю. Ещё интересно, что здесь сегодня samy62 запостил скрин своих активных соединений, у него тоже DHCP “что-то качает”, правда не в таких объёмах…
Ага! То есть это собираются мультикасты со всей подсети. Ясно. Значит трафик, как таковой, есть. Можете посмотреть UDP заголовок у ответа от сервера (DHCPACK) и у какого-нибудь чужого клиента с его DHCPINFORM? Может это и в самом деле глюк, если ФВ считает, что после мультикастного ответа от сервера и все остальные мультикасты теперь идут для dhcp-клиента, сокет-то ведь он держит открытым… Файрфокс со своим висением по полчаса никак не засветился в логе?
Хм. т.е. ФВ действительно считает, что все эти мультикасты предназначены для DHCP-клиента, хотя там и порт, естественно, другой, и номер транзакции ему совершенно неизвестный… Смахивает на багу вообще-то… И у Вас, получается, входящие правилами не фильтруются что ли? И ещё, Вы можете предложить процедуру, которая точно даст такой эффект? Или это только после передёргивания кабеля? Насчёт того, что сегодня у него убавились аппетиты, я так подумал, может просто дело к выходным и пакетов поэтому и поубавилось?..
В глобальных правилах стоит разрешить вх UDP на порт 1234 и вх IGMP (нужно для IP-TV), следующее за ними правило - блокировать все входящие. Комодо видимо не совсем правильно работает с мультикастом. Поток IP-TV он вообще не показывает в сетевых соединениях (обсуждалось здесь), а DHCP - наоборот.
После передергивания, никакой закономерности. Сейчас вообще Comodo ничего для DHCP не показывает в соединениях, хотя сниффер продолжает ловить как раньше.
А я хочу рассказать про соединения , не видимые Комодо . Использую кэширующий локальный прокси-сервер HandyCache , в настройках Комодо он также указан . Наблюдаю во время обновления баз Комодо в окошке Фаервол -Активные подключения размер трафика - он указывает на размер примерно 152 байта , которые идут по адресу http://download.comodo.com/av/updates58/sigs/updates/BASE_UPD_END_USER_v10752.cav.z#m , в тоже время вижу в мониторе HandyCache , что кроме этих соединений идут соединения по адресу http://downloads.comodo.com/av/updates58/sigs/updates/BASE_UPD_END_USER_v10752.cav.z , размер которых составляет уже 23612 байт , а в мониторе Комодо не видно соединений с таким объёмом трафика .
Аналогичная ситуация и с Windows Update .
В случае с Хромиум , также не видно бОльшего размера трафика через https с Гуглом , показывает размер входящего соединения 66 байт , а в прокси видно 3 соединения общим объёмом 33 килобайта .
На другом компьютере стоит Комодо 2.4 и на нём виден весь объём трафика , даже через HandyCache .
Есть ещё одна особенность . У меня соединение с инетом через L2tp . В случае с CIS 5.8 в вышеописанных случаях , когда не видно трафика через HandyCache , видно увеличение размера трафика через порт UDP 1701 до VPN сервера . Какой то странный режим отображения трафика присутствует в CIS 5.8 .
Так у нас будет материал для обсуждения, пока не понятно, что с этим DHCP. Касательно файрфокса, в принципе, поскольку HTTP 1.1 не разрывает коннект после каждого файла, соединения могут и “висеть” какое-то время… Хотя полчаса как-то и многовато…