Каждый раз когда загружаю uTorrent, начинают валить входящие UDP пакеты на порт 55368.
Пакеты приходят с разных адресов. uTorrent настроен на другой порт.
Данный порт по UDP слушает svchost.exe (netsvcs)
Вопрос. Что это такое? Стоит ли блокировать или разрешать эти входящие?
С совершенно разных, или получается некий набор повторяющихся адресов?
в основном с разных адресов и портов, но иногда они повторяются. если это и набор, то там явно больше 30-40 адресов.
вот пример лога
http://storage3.static.itmages.ru/i/11/0607/s_1307468829_7f8a1e8aca.jpeg
очень похоже на то, что torrent-пиры шлют пакеты. но для чего - не понятно
Судя по гуглу - это подсети провайдеров. Не думаю, что в uTorrent встроен некий “скрытый” функционал, чтобы пиры обменивались пакетами через svchost
Когда svchost открывает слушающий сокет? При запуске, или при старте uTorrent?
порт назначается при подключении к интернету.
при чем только сейчас заметил, что он каждый раз использует разный порт.
например, сейчас используется порт 54306.
И, что интересно, от меня с этого порта svchost посылает UDP пакеты. только реже и на совершенно другие адреса (193.178.118.68, 93.183.239.106, 178.22.55.105, 178.140.193.72 и т.д.)
Никогда не замечал такого поведения svchost на своих машинах. Особенно с использованием разных портов.
Похоже на малварь, но от системного программирования я далёк, мне больше помочь нечем. Разве что стандартно - запустить сканирование с профилем поиска шпионского ПО, пройтись лайвом Dr.Web.
Проверил svchost.exe на virustotal.com - всё по нулям, кроме eSafe, который нашел якобы Win32.TrojanHorse. Больше похоже на ложное срабатывание. Поиск шпионского ПО комодо ничего не выявил. Такое поведение я замечаю с самой установки винды. AVZ и Cure It тоже ничего не нашли.
netstat -a -b -p UDP сказал, что этот порт слушает svchost.exe (iphlpsvc)
гугль сказал, что это IP helper, и нужен он якобы для туннелей Ipv6. Так то штука возможно и нужная, несмотря на то, что Ipv6 у меня выключен на интетовском интерфейсе.
Теперь возникает вопрос, как разрешить входящие для него в комодо, если он меняет порт при переподключении к интернету?
Для туннелирования IPv6 в IPv4, мелкософт пользует протокол Teredo. Если это он, то ipconfig /all должен выдавать помимо отображаемых в “Сетевых устройствах”, туннельные адаптеры.
Если у вас установлен какой-нибудь снифер инструмент анализа протоколов, например, Wireshark, можно глянуть что передают через этот порт.
Судя по описанию Teredo на technet Teredo Overview | Microsoft Learn, клиенты teredo, подключённые к сетям IPv4 и IPv6, выступают в качестве ретрансляторов, туннелирующих трафик IPv6 хостов через своё IPv4 соединение. Но! Как серверы, так и ретрансляторы слушают udp 3544 для входящих teredo-соединений:
Teredo serverТак что если это и инкапсуляция, то не от мелкософта.A Teredo server is an IPv6/IPv4 node that is connected to both the IPv4 Internet and the IPv6 Internet, supports a Teredo tunneling interface over which packets are received. The general role of the Teredo server is to assist in the address configuration of Teredo client and to facilitate the initial communication between Teredo clients and other Teredo clients or between Teredo clients and IPv6-only hosts. The Teredo server listens on UDP port 3544 for Teredo traffic.
For more information about the role of the Teredo server in facilitating initial communication, see “Teredo Processes” in this article.
Windows XP SP2, Windows XP SP1 with the Advanced Networking Pack for Windows XP, Windows Server 2003 with Service Pack 1, Windows Vista, and Windows Server “Longhorn” do not include Teredo server functionality.
Teredo relay
A Teredo relay is an IPv6/IPv4 router that can forward packets between Teredo clients on the IPv4 Internet (using a Teredo tunneling interface) and IPv6-only hosts. In some cases, the Teredo relay interacts with a Teredo server to help it facilitate initial communication between Teredo clients and IPv6-only hosts. The Teredo relay listens on UDP port 3544 for Teredo traffic.
For more information about the role of the Teredo relay in facilitating initial and ongoing communication between Teredo clients and IPv6-only hosts, see “Teredo Processes” in this article.
Windows XP SP2, Windows XP SP1 with the Advanced Networking Pack for Windows XP, Windows Server 2003 with Service Pack 1, Windows Vista, and Windows Server “Longhorn” do not include Teredo relay functionality. Microsoft does not plan to deploy any Teredo relays on the IPv4 Internet. Individual Internet service providers (ISPs) could deploy their own Teredo relays. The Windows-based Teredo client will work with a Teredo relay when sending traffic to an IPv6-only host on the IPv6 Internet. Teredo relays are not needed to communicate with Teredo host-specific relays.
Teredo host-specific relay
Communication between Teredo clients and IPv6 hosts that are configured with a global address must go through a Teredo relay. This is required for IPv6-only hosts connected to the IPv6 Internet. However, when the IPv6 host is IPv6 and IPv4-capable and connected to both the IPv4 Internet and IPv6 Internet, then communication should occur between the Teredo client and the IPv6 host over the IPv4 Internet, rather than having to traverse the IPv6 Internet and go through a Teredo relay.
A Teredo host-specific relay is an IPv6/IPv4 node that has an interface and connectivity to both the IPv4 Internet and the IPv6 Internet and can communicate directly with Teredo clients over the IPv4 Internet, without the need for an intermediate Teredo relay. The connectivity to the IPv4 Internet can be through a public IPv4 address or through a private IPv4 address and a neighboring NAT. The connectivity to the IPv6 Internet can be through a direct connection to the IPv6 Internet or through an IPv6 transition technology such as 6to4, where IPv6 packets are tunneled across the IPv4 Internet. The Teredo host-specific relay listens on UDP port 3544 for Teredo traffic.
Windows XP SP2, Windows XP SP1 with the Advanced Networking Pack for Windows XP, Windows Server 2003 with Service Pack 1, Windows Vista, and Windows Server “Longhorn” include Teredo host-specific relay functionality, which is automatically enabled if the computer has a global address assigned. A global address can be assigned from a received Router Advertisement message from a native IPv6 router, an ISATAP router, or a 6to4 router. If the computer does not have a global address, Teredo client functionality is enabled.
The Teredo host-specific relay allows Teredo clients to efficiently communicate with 6to4 hosts, IPv6 hosts with a non-6to4 global prefix, or ISATAP or 6over4 hosts within organizations that use a global prefix for their addresses, provided both hosts are using a version of Windows that supports Teredo.
Посмотрите Process Explorer’ом, какие службы юзают эти порты. Скажем, ICS, UPnP и т.п. очень любят пользоваться портами в районе 50-60 тысяч. Кстати, проверять в таких случаях только svchost недостаточно хотя бы потому, что работающие под ним службы реализованы в dll-библиотеках.
[attachment deleted by admin]
process explorer дал ту же инфу, что и netstat - этот порт слушает iphlpsvc
посмотрел какие пакеты ко мне приходят на этот порт через wireshark.
Так и есть: Teredo Ipv6 over UDP tunneling
Ipv6 пакеты с dst.ipv6.address = ipv6 адресу моего teredo туннельного адаптера инкапсулируются в UDP ipv4 и шлются мне на этот порт.
так и есть. IPv4 пакеты приходят от 94.245.121.251:3544 (UK-MICROSOFT-20081107), а внутри уже зашиты Ipv4 и Ipv6 адреса и UDP порты клиентов, которые используют этот teredo relay
Т.е. это полезный трафик.
Теперь возникает вопроc: как мне разрешить для svchost.exe входящие на порт, который меняется при реконнекте? открывать все порты или диапазон портов не хочется.
почитал вот это
и выключил нафик teredo интерфейс
Во-во. И не включайте подобные вещи. Все эти “чудо-протоколы” с инкапсуляцией это “прекрасно”, но выяснить, что внутри “конверта” часто невозможно. Особенно, когда трафик прёт на микрософтовские хосты.
дык он включен по дефолту
У вас точно такая же проблема как и у меня. Началось все с того, что svchost соединился с каким-то странным IP и начал что-то выкачивать, я проверил его на VirusTotal и получил такой же, как у вас результат, посмотрев комментарии нашел это:
Тоже проверял AVZ и Cure It-ом и они ничего не нашли.
Проверил на руткиты TDSSKiller-ом, нашел это:
C:\Windows\system32\Drivers\sptd.sys. md5: cdddec541bc3c96f91ecb48759673505
2011/06/12 02:45:16.0889 7180 sptd - detected LockedFile.Multi.Generic (1)
Это я так понимаю просто заблокированный файл.
И вот сегодня началось блокирование соединений по UDP фаерволлом, вот, нашел эту тему.
Попробуйте прошерстиь этим.
ХХХХХ-ХХХХХ-ХХХХХ-ХХХХХ
Пользуюсь коробочной версией 2005 года.В ней один пакет.Са антишпионский модуль.В этой версии-это сюита.Придется решить конфликт установок,полным отключением CIS.(потом можно включить.)При проверке отключаете проактив киса,и антивирус.программу Lic Reg Заблокируйте фаером.Учтите что торрент по классификации многих программ,так же является шпионской программой.pestpatrol может её легко замочить.
упд. exproff: Много, заморочено, “непонятненько” ©
Серийники на общий обзор не выкладываем. Спасибо.
для MaxFn:
sptd.sys(SCSI Pass Through Direct) - это драйвер(перехватчик) программы Daemon Tools. Его работа, скажем так, похоже на руткит-технологию. Он шифруется в системе, иногда изменяет своё название… По другому DT выполнять свои функции по виртуализации дисков просто не будет. Вовсе не странно, что его определили как руткит. И после удаления Daemon Tools своим деинсталлятором этот драйвер не удаляется, нужно чистить руками реестр и только в режиме загрузки основных служб и драйверов(иначе будет отказано в доступе). Драйвер должен находиться здесь: %windir%\system32\drivers\SPTD.sys
Ветки реестра:
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\sptd
HKLM\SYSTEM\CurrentControlSet\Services\sptd\
HKLM\SYSTEM\CurrentControlSet001\Services\Eventlog\System
HKLM\SYSTEM\CurrentControlSet001\Services\Eventlog\System\sptd
HKLM\SYSTEM\CurrentControlSet001\Services\sptd\
HKLM\SYSTEM\CurrentControlSet002\Services\Eventlog\System
HKLM\SYSTEM\CurrentControlSet002\Services\Eventlog\System\sptd
HKLM\SYSTEM\CurrentControlSet002\Services\sptd\
McARIS CA выпрашивает покупку, ничего не делает, удалил.
Вот:
Никаких программ кроме Скайпа и антивируса не включено, но фаерволл продолжает блокировать многочисленные соединения, по какой причине он это делает?
Не обращайте внимания. IP динамический?
