-
неверный DNS-запрос
Фаер постоянно орёт: "Обнаружен неверный DNS-запрос с IP-адреса(мой):86.*.*.*, порт:1477 на IP-адрес: 212.122.1.2, порт:53", при этом мой порт колеблется от 1029-1477, и это происходит каждый день(раз за подключение, в течении примерно 2-х минут) и при этом мой трафик растет в среднем на 300кб за период. Файл, который это дело отправляет - svchost.exe. Хотелось бы узнать с чем это связано и как от этого излечиться...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
212.122.1.2 -это Ваш DNS сервер, указанный в настройках интернета ?
Видимо, стоит просто разрешить DNS запросы в файерволле.
Скорее всего, файерволл считает, что они должны идти от Вас тоже с порта 53. Не думаю, что это обязательно должно быть именно так.
-
-
да, это мой днс сервак, а незнаете, какие данные он передает, ничего лишнего?
-
-
Ругань идет не на ответы сервера, а на ваши запросы. Хорошо бы выяснить, кто именно эти запросы шлет.
Если Вы перед тем, как ругается файерволл, пытаетесь открыть какой-то сайт в браузере - тогда все нормально, просто неправильно настроен файерволл. А вот в случае, когда Вы ничего не открываете - стоит разобраться, кто и что спрашивает у DNS сервера.
Опять же могут слать туда запросы и нормальные программы, к примеру, автоматическое обновление виндовс, если оно у Вас включено.
Отключите - если запросы пропадут, значит, это оно и все в порядке, можно включать на место.
-
-
Вообще есть довольно сложный, но универсальный инструмент для таких разборок - сниффер. Мне нравится Ethereal:
ftp://netmirror.org/ftp.ethereal.com...tup-0.10.9.exe
http://winpcap.mirror.ethereal.com/i...inPcap_3_1.exe
Скачать, поставить. Далее Capture - в окне Capture filter введите dst port 53.
Он запишет обмен, далее уже надо смотреть, что именно запрашивается.
К примеру, вот я открываю сайт anekdot.ru. В окне сниффера выводится следующее:
1 0.000000 192.168.2.2 211.153.32.66 DNS Standard query A anekdot.ru
2 0.243295 192.168.2.2 211.153.32.66 DNS Standard query A ad.adriver.ru
3 0.265903 192.168.2.2 211.153.32.66 DNS Standard query A counter.rambler.ru
4 0.271608 192.168.2.2 211.153.32.66 DNS Standard query A top.list.ru
5 0.529143 192.168.2.2 211.153.32.66 DNS Standard query A banner.relax.ru
6 0.529766 192.168.2.2 211.153.32.66 DNS Standard query A count.rbc.ru
Как видите, разобраться несложно - что за запрос. Далее уже разбираемся, что за сайт и кто это вдруг его запрашивает.
Последний раз редактировалось Alexey P.; 02.05.2006 в 03:20.
-
-
у меня как бы так получается, если я вообще блокирую svchost.exe, а именно Generic Host Process DNS Service UDP connection, то комп в инет не полезит, я так понимаю, что через этот запрос, у прова мне как бы канал открывается, может я не прав...
Вот именно, если я открываю сайт, то перед этим он посылает запрос, его я разрешил и всё нормально работает, а эти запросы просто, ни с того, ни с сего, а автообновление отключено, но даже если бы и было включено, оно же к прову не должно ломиться, а сразу на сайт мелкософта...
-
-
MP-96
и при этом мой трафик растет в среднем на 300кб за период. Файл, который это дело отправляет - svchost.exe.
Служба DNS - RFC1034 RFC1035
Все очень хорошо описано здесь:
http://info.nic.ru/st/8/out_16.shtml
http://www.az/~cad/dns/dns.htm
http://www.windowsitlibrary.com/Content/386/12/3.html
мой трафик растет в среднем на 300кб за период
Уж очень подозрительно. Вообще-то, есть куча троянов, которые пытаются маскировать свой трафик под DNS запросы.
Вообще-то в самом брандмауэре нужно ручками прописать конкретные адреса DNS-серверов и все. Какой брандмауэр стоит? Если ОР, то "Руководство по созданию безопасной конфигурации Outpost" - http://forum.five.mhost.ru/kb2/index.php
Alexey P.
Вообще есть довольно сложный, но универсальный инструмент для таких разборок - сниффер.
Вообще-то Вы не совсем правы. Дело в том, что персональные брандмауэры несовмсетимы со снифферами и другим софтом, инсталлирующим свои собственные драйвера в систему и перехватывающим сетевые пакеты. Поэтому тут нужно быть осторожным. И приготовиться к BSOD'ам (падение системы) и т.д.
MP-96 Вообще-то здесь трудно что-либо сказать конкретное. Лучше сделайте логи, как написано в правилах. Тогда можно будет сказать - легитимный это траффик или нет.
-
-
Сообщение от
orvman
Уж очень подозрительно. Вообще-то, есть куча троянов, которые пытаются маскировать свой трафик под DNS запросы.
Alexey P.
Вообще-то Вы не совсем правы. Дело в том, что персональные брандмауэры несовмсетимы со снифферами и другим софтом, инсталлирующим свои собственные драйвера в систему и перехватывающим сетевые пакеты. Поэтому тут нужно быть осторожным. И приготовиться к BSOD'ам (падение системы) и т.д.
Насчет аутпоста - Вам виднее, конечно. А с Kerio Personal Firewall 4.2 Ethereal прекрасно уживается, никаких проблем где-то месяцев за 7 активной эксплуатации этой связки я не вижу.
MP-96 Вообще-то здесь трудно что-либо сказать конкретное. Лучше сделайте логи, как написано в правилах. Тогда можно будет сказать - легитимный это траффик или нет.
-