Показано с 1 по 8 из 8.

неверный DNS-запрос

  1. #1
    MP-96
    Guest

    неверный DNS-запрос

    Фаер постоянно орёт: "Обнаружен неверный DNS-запрос с IP-адреса(мой):86.*.*.*, порт:1477 на IP-адрес: 212.122.1.2, порт:53", при этом мой порт колеблется от 1029-1477, и это происходит каждый день(раз за подключение, в течении примерно 2-х минут) и при этом мой трафик растет в среднем на 300кб за период. Файл, который это дело отправляет - svchost.exe. Хотелось бы узнать с чем это связано и как от этого излечиться...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    212.122.1.2 -это Ваш DNS сервер, указанный в настройках интернета ?
    Видимо, стоит просто разрешить DNS запросы в файерволле.
    Скорее всего, файерволл считает, что они должны идти от Вас тоже с порта 53. Не думаю, что это обязательно должно быть именно так.

  4. #3
    MP-96
    Guest
    да, это мой днс сервак, а незнаете, какие данные он передает, ничего лишнего?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Ругань идет не на ответы сервера, а на ваши запросы. Хорошо бы выяснить, кто именно эти запросы шлет.
    Если Вы перед тем, как ругается файерволл, пытаетесь открыть какой-то сайт в браузере - тогда все нормально, просто неправильно настроен файерволл. А вот в случае, когда Вы ничего не открываете - стоит разобраться, кто и что спрашивает у DNS сервера.
    Опять же могут слать туда запросы и нормальные программы, к примеру, автоматическое обновление виндовс, если оно у Вас включено.
    Отключите - если запросы пропадут, значит, это оно и все в порядке, можно включать на место.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Вообще есть довольно сложный, но универсальный инструмент для таких разборок - сниффер. Мне нравится Ethereal:
    ftp://netmirror.org/ftp.ethereal.com...tup-0.10.9.exe
    http://winpcap.mirror.ethereal.com/i...inPcap_3_1.exe
    Скачать, поставить. Далее Capture - в окне Capture filter введите dst port 53.
    Он запишет обмен, далее уже надо смотреть, что именно запрашивается.

    К примеру, вот я открываю сайт anekdot.ru. В окне сниффера выводится следующее:
    1 0.000000 192.168.2.2 211.153.32.66 DNS Standard query A anekdot.ru
    2 0.243295 192.168.2.2 211.153.32.66 DNS Standard query A ad.adriver.ru
    3 0.265903 192.168.2.2 211.153.32.66 DNS Standard query A counter.rambler.ru
    4 0.271608 192.168.2.2 211.153.32.66 DNS Standard query A top.list.ru
    5 0.529143 192.168.2.2 211.153.32.66 DNS Standard query A banner.relax.ru
    6 0.529766 192.168.2.2 211.153.32.66 DNS Standard query A count.rbc.ru

    Как видите, разобраться несложно - что за запрос. Далее уже разбираемся, что за сайт и кто это вдруг его запрашивает.
    Последний раз редактировалось Alexey P.; 02.05.2006 в 02:20.

  7. #6
    MP-96
    Guest
    у меня как бы так получается, если я вообще блокирую svchost.exe, а именно Generic Host Process DNS Service UDP connection, то комп в инет не полезит, я так понимаю, что через этот запрос, у прова мне как бы канал открывается, может я не прав...
    Вот именно, если я открываю сайт, то перед этим он посылает запрос, его я разрешил и всё нормально работает, а эти запросы просто, ни с того, ни с сего, а автообновление отключено, но даже если бы и было включено, оно же к прову не должно ломиться, а сразу на сайт мелкософта...

  8. #7
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    51
    MP-96
    и при этом мой трафик растет в среднем на 300кб за период. Файл, который это дело отправляет - svchost.exe.
    Служба DNS - RFC1034 RFC1035
    Все очень хорошо описано здесь:
    http://info.nic.ru/st/8/out_16.shtml
    http://www.az/~cad/dns/dns.htm
    http://www.windowsitlibrary.com/Content/386/12/3.html
    мой трафик растет в среднем на 300кб за период
    Уж очень подозрительно. Вообще-то, есть куча троянов, которые пытаются маскировать свой трафик под DNS запросы.
    Вообще-то в самом брандмауэре нужно ручками прописать конкретные адреса DNS-серверов и все. Какой брандмауэр стоит? Если ОР, то "Руководство по созданию безопасной конфигурации Outpost" - http://forum.five.mhost.ru/kb2/index.php

    Alexey P.
    Вообще есть довольно сложный, но универсальный инструмент для таких разборок - сниффер.
    Вообще-то Вы не совсем правы. Дело в том, что персональные брандмауэры несовмсетимы со снифферами и другим софтом, инсталлирующим свои собственные драйвера в систему и перехватывающим сетевые пакеты. Поэтому тут нужно быть осторожным. И приготовиться к BSOD'ам (падение системы) и т.д.

    MP-96 Вообще-то здесь трудно что-либо сказать конкретное. Лучше сделайте логи, как написано в правилах. Тогда можно будет сказать - легитимный это траффик или нет.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Цитата Сообщение от orvman
    Уж очень подозрительно. Вообще-то, есть куча троянов, которые пытаются маскировать свой трафик под DNS запросы.
    Alexey P.
    Вообще-то Вы не совсем правы. Дело в том, что персональные брандмауэры несовмсетимы со снифферами и другим софтом, инсталлирующим свои собственные драйвера в систему и перехватывающим сетевые пакеты. Поэтому тут нужно быть осторожным. И приготовиться к BSOD'ам (падение системы) и т.д.
    Насчет аутпоста - Вам виднее, конечно. А с Kerio Personal Firewall 4.2 Ethereal прекрасно уживается, никаких проблем где-то месяцев за 7 активной эксплуатации этой связки я не вижу.

    MP-96 Вообще-то здесь трудно что-либо сказать конкретное. Лучше сделайте логи, как написано в правилах. Тогда можно будет сказать - легитимный это траффик или нет.

Похожие темы

  1. Неверный образ
    От Человек-кот в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 04.07.2012, 14:20
  2. rundll32.exe - неверный образ
    От Dима89 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 11.08.2010, 15:41
  3. RUNDLL32.EXE-НЕВЕРНЫЙ ОБРАЗ
    От Moscow74 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 16.01.2010, 15:36
  4. lass.exe неверный дескриптор
    От vado80 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 13.01.2010, 17:40
  5. вирус и неверный образ
    От Sudden в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 09.06.2009, 10:35

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01410 seconds with 16 queries