hoi,
Ik heb een probleem/vraag:
ik heb de laatste tijd last van misschien DOS aanvallen hoewel comodo IS ze gelukkig wel blokkeerd 8)
maar me log bestand stroomt ook vol. is er messchien een oplossing om een specifieke port te negeren?
het gaat om de port 57070 UDP (BitTorrent?
Ik heb al gekeken in de instellingen en vond maar een mogelijke oplossing: alamering voor UDP verzoeken uitvinken maar, Ik heb nog meerdere programma’s die op het protocol UDP werken waar ik graag nog overzicht over wil houden
Hallo annoniempjuh,
Tegen welke applicatie wordt deze regel gelogd?
Windows Operating System?
Als dat het geval is dan is mogelijk het volgende aan de hand, we zien dit wel vaker bij Torrent clients.
Dan zijn er nog clients die denken dat je nog bestanden aan het delen bent terwijl je de torrent applicatie al afgesloten hebt, de verzoeken komen dan als nog op je pc maar die kan er geen applicatie meer bij vinden en zal ze dan als laatste redden aan het windows operating system aanbieden die er ook niks mee kan en CIS zal ze dus blokkeren.
hoi,
dat is nou net het probleem: ik kan niet zien welke applicatie, alleen de doel en bron ip’s en poorten
Nu vandaag heb ik er geen last van want ik heb svhost.exe geblokkeerd want die wou verbinding maken met een ip die ik niet ken.
het gaat nu om 2 ip’s en 4 verschillende poorten: 3544, 1417, 1245, 1025 en 1026.
Ik gebruik Windows XP home edition SP3 en de laatste CIS versie + updates.
Ik heb al geprobeerd om de pc een paar keer opnieuw op te starten maar had geen nut.
is er een mogelijk heid om de svhost.exe applicatie te negeren op alles (want ik weet dat svhost.exe niet echt balangrijk is om naar het internet te verbinden, alleen de modem/router?
mvg,
makkelijkste zou zijn om een schermprintje te posten dan kunnen we het beter beoordelen.
Daarnaast is het verstandig om the controleren of svhost.exe wel echt is het hoort namelijk svchost.exe te heten en te staan in c:\windows\system32\svchost.exe als het ergens anders staat is het zeer waarschijnlijk een virus.
Dit proces mag normaal wel een aantal zaken naar internet dus volledig blokkeren zou niet nodig moeten zijn…
Als ik het dus goed begrijp wil jou pc naar 2 verschillende ip’s op de genoemde poorten verbinding maken?
Dat lijkt me verdacht mits de 2 nummers niet 127.0.0.1 of het huidige ip nummer op je lokale netwerkkaart zijn. (Controle, start, run, cmd en dan ipconfig in typen en op ENTER drukken)
svchost.exe staat gelukkig gewoon waar hij hoort te staan. de Ip’s zijn buiten mijn netwerk.
Nu is mijn log bestan al weer op gelopen naar 100 blokkeringen en ze hebben de naam: Windows Operating System ???
Hier een screen, zegt dit genoeg?
[img=http://img4.imageshack.us/img4/8470/comdoispoortblokl.th.jpg]
Het bovenste WOS verkeer is van b.v. een Torrent client die niet meer opgestart is op je computer.
Let er op dat de destination port elke keer gelijk is en de source ip’s wisselen dat duid er op dat jij de “server” bent in dit geval.
Het svchost.exe verkeer gaat naar Microsoft servers beide ip reeksen staan op naam van Microsoft.
Het lijkt er op dat het IPv6 tunnel verkeer is:
Teredo Relays
A Teredo relay is an IPv6/IPv4 router that can forward packets between Teredo clients on the IPv4 Internet (using a Teredo tunneling interface) and IPv6-only hosts. In some cases, the Teredo relay interacts with a Teredo server to facilitate initial communication between Teredo clients and IPv6-only hosts. The Teredo relay listens on UDP port 3544 for Teredo traffic.
oké… snap er (nog) niet veel van maar, ik heb al gemerkt dat de volgende dag vraagt of svchost.exe toegang mag krijgen tot een bepaalde ip en poort (die ik overgens niet ken) als ik die blokkeer heb ik er geen last van… maar, is er een oplossing? Of is dit niet zo erg? (zolang comodo het blokkeerd)
hmm… ik denk dat ik weet wat de oorzaak is van dit probleem, Ik had DHC aan staan in de torrent client. Zal een deze dagen even kijken of het de oplossing is (heb nu geen tijd en zit achter een andere computer + netwerk)
mvg,
hoi, heb net de DHC (DHC-netwerk, DHC bij nieuwe torrents, peer uitwisseling) uitgeschakeld en dit schijnt te werken… alleen ben nu op een ander probleem gestuiterd, namelijk: Comodo blokkeerd me internet, ik moet de firewall geheel uitschakelen wil ik verbinding kunnen maken met internet.
ik heb al geprobeerd te updaten (wat eerst ook niet werkte) en de laatste versie geinstalleerd, maar nog blokkeerd hij het internet. Iemand een oplossing?
Wat staat er in de firewall logs dan ?
helemaal niets, dat is het nou… kan alleen internetten als ik de comodo firewall uitschakel (en de windows inschakelen) alles is up-to-date.
Heb net CIS 3.13 verwijderd van mijn pc en heb met CSC alle overige data verwijderd (En met behulp van: Ccleaner, CSC, CFP3 file+register cleaner)
heb nu de laatste versie van CIS gedownload, geïnstalleerd en ingesteld. en heb nu geen last van het probleem meer. alleen nu vraagt hij telkens of svchost.exe verbinding mag maken met poorten met het protocol UPD en een ip dat ik niet ken… de ip’s beginnen met 91. dus niet nederlands. ik blokker ze tijdenlijk en check of threatcast antwoorden bevatten op dit.
in ieder geval zijn mijn problemen opgelost. bedank ;D :-TU
MVG,
Lijkt er op dat er iets “onterecht” geblokkeerd is geweest b.v. svchost voor DNS queries (UDP 53) daar wordt internetnetten ook heel erg rustig van 
Nu wil het geval dat Comodo ook een paar servers in de 91.x reeks heeft, je zou ze kunnen na trekken op
Europa:
http://www.db.ripe.net/whois
Us:
https://ws.arin.net/whois/
Kijken wie de eigenaar is van de reeks nummers.
hmm… ik snap er nu helemaal niks meer van, het probleem is er weer… alleen heb ik svchost.exe volledige toegang gegeven en toch blokkeert hij, er staat ook niks in de logs… heb nu de firewall van Windows maar gestart en comodo uitgeschakeld…
heb met vista geen probleem, heb svchost niet in de regels staan en toch werkt hij normaal (op soms wegvallen van bereik (draadloos) is het normaal dat ik C. firewall geheel moet uitzetten? ook training modus werk niet (met opnieuw opstarten tript m’n computer/loopt vast)
Nee dat is niet normaal, heb je na de installatie de “Stealth Ports Wizard” gebruikt?
Dit zou kunnen verklaren dat training mode niet helpt want die gaat “blocks” niet oplossen.
Zeker niet als ze op global rules staan, kun je een schermprintje van de Global rules posten?
nee, heb niks gebruikt… heb onder tussen CIS verwijdert en weer geïnstalleerd en heb er nu geen last van (voor hoelang¿)
heb ooit eens “hulp bij poortmaskering” gebruikt bij vista maar daar kreeg ik conflicten mee (geen internet/ togang tot… etc) nu draait alles weer zoals het hoort, heb namelijk svchost.exe direct na installatie toegelaten tot het net. kan het misschien liggen dat ik de poorten 135 t/m 139 en 445 heb geblokkeerd? want svchost luistert namelijk ook op 135 TCP (netbios)hoewel ik heb de services voor netbios uitgeschakkelt (is veiliger en prestatie verbetering)
in de global rules heb ik 4regels zelf aan gemaakt.
[attachment deleted by admin]
Ik zou alleen nog ff logging op de laatste 4 regels zetten en de komende dagen even aanzien wat dat in de logging opleverd je weet maar nooit
Hoi, Ik heb bij Vista het zelfde gedaan als XP, en ook hier viel me internet weg, dus heb ik me eigen gemaakte regels gelogd en kwam tot conclusie dat de poorten 137 en 138 verbinding probeerde te maken naar mijn router/modem. Nu heb ik die 2 poorten uit de block lijst gehaald en werkt alles prima >:-D
Ik zal een deze dagen kijken of dit ook bij XP werkt (vast wel :a0 )
hopelijk is dan het probleem opgelost…
MVG,
