Dziwne, podejrzane połączenia sieciowe.

[qrczak]

Witam
Ostatnio zauważyłem w połączeniach jakieś dziwne połączenia "microsoft-ds" i netbios. W usługach netbios mam przecież wyłączony. Jaka może być przyczyna tego?

[Aby zobaczyć linki, zarejestruj się tutaj]

Mam jeszcze kilka pytań:
- czy to normalne że mam tam też isakmp i epmap? da sie to jakoś wyłączyć? czy to potrzebne do czegoś?
- *:*oznacza że te porty są otwarte?
- zdarza się często że połączenia które sie zamykają przechodzą (czyli wyświetla sie połączenie procesu "System:8" z jakimś ip ale wtedy jest połączenie oznaczone jako "TIME_WAIT"- czyli czeka na zakończenie połączenia?) do System:8 , dlaczego tak sie dzieje?
- System:8to połączenia systemu? W firewallu nie widzę opcji blokowania lub określania połączeń systemowych z siecią, są tylko reguły dla programów.

[zbycho]

microsoft-ds to port 445
epmap to port 135
netbios-y to porty 137 ,138 i 139 <----netbios-ssn
Z tego wynika ze porty 445,135,139 są na nasłuchu
Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i zastosuj,z tym ze Netbios trzeba wyłaczyć w ten sposób.

Panel sterowania >>> Połączenia sieciowe >>> prawy klik na dane połączenie >>> Właściwości >>> podświetlić Protokół TCP / IP >>> Właściwości >>> Zaawansowane >>> zakładka WINS >>> Wyłącz system NetBIOS przez TCP/IP:

A dopiero później usługę TCP/IP NetBIOS Helper

W usługach netbios mam przecież wyłączony. Jaka może być przyczyna tego?

Juz wiesz.

*:* oznacza że te porty są otwarte?

Nie.

zdarza się często że połączenia które sie zamykają przechodzą (czyli wyświetla sie połączenie procesu "System:8" z jakimś ip ale wtedy jest połączenie oznaczone jako "TIME_WAIT"- czyli czeka na zakończenie połączenia?) do

Nie bardzo rozumiem co masz na myśli,raczej sie domyślam.
Kiedy przerywasz polaczenie to jest ono jeszcze utrzymywane zeby pakiety z bufora zostały jeszcze przesłane.
Jeśli z jakis przyczyn zewnetrznych połaczenie zostało przerwane to TIME_WAIT nieraz trwa.
Mozna to zmienić,Ryzykowne bo to nieudokumentowana funkcja.
Zalezna od wielkości wartości"TcpTimedWaitDelay" w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Ta wartosc nie istnieje,trzeba ja stworzyć i wpisac odpowiednia wielkość.

System:8 to połączenia systemu? W firewallu nie widzę opcji blokowania lub określania połączeń systemowych z siecią, są tylko reguły dla programów.

Tak.
Jest.W Reguły Sieci >> Reguły Globalne >> Zastosowane przed Regułami Aplikacji
Tu można blokować porty ale ostroznie,bo te reguły sa nadrzedne.

[qrczak]

1.

Z tego wynika ze porty 445,135,139 są na nasłuchu

Masz na myśli to że dopiero może ktoś je nasłuchać? bo w "remote address" jako nasłuchujący jest nazwa mojego komputera lub *:*.

2. Dlaczego firefox nawet gdy nie ma żadnych połączeń to na tej liście TCPView kilka krotnie łączy się z mojego komputera z moim komputerem: nazwa mojego komputera (local address) z nazwą mojego komputera (remote address na porcie 0) a także oznaczajac komputer nie po nazwie ale jako localhost ale już z większymi numerami portów niż 0. Wygląda to tak:

[Aby zobaczyć linki, zarejestruj się tutaj]

3. Port dla przeglądarki to 80(http) lub https. Dlaczego więc połączenie z mojego komputera (local address) to zawsze jakiś inny port o dużej liczbie a nie też 80? Tylko w remote address jest port 80- oznaczone jako http.

4. Czasem firewall pyta sie mnie o połączenie na porcie 53, oczywiście odmawiam:

[Aby zobaczyć linki, zarejestruj się tutaj]

Można zablokować to w firewallu ale chciałbym najpierw w systemie ustawić by services.exe nie laczylo sie z netem, jak to zrobić?
bez firewalla to dziwne połączenie byłoby pewnie zrealizowane.
Znalazłem tutaj

[Aby zobaczyć linki, zarejestruj się tutaj]

takie info:

Port 53 jest standardowo wykorzystywany do komunikacji
z serwerem DNS Zablokowanie np. przez firewall lub filtr
TCP/IP uniemożliwi przeglądanie stron WWW

...ja blokuję i wszystkie strony działają.

Nie sprawdzałem jak jest w przypadku portu 53 ale gdy services.exe próbuje sie łączyć na porcie 51 po odmówieniu połączenie wędruje do System:8 jako ACK. Jak wyłączyć też port 51?

5. Hmm a co z Isakmp?
Lsass z tego co czytam odpowiedzialny jest za zabezpieczenia ale czy musi mieć włączony port isakmp ? może to że działa na tym porcie jest tym zabezpieczeniem (jakiś nadzór) bo np proces firewalla też mam na liście połączeń tylko że na zwykłym porcie. Ale nie łączą sie te (lsass i proces firewalla) procesy z netem.

6.

System:8 to połączenia systemu? W firewallu nie widzę opcji blokowania lub określania połączeń systemowych z siecią, są tylko reguły dla programów.

Tak.
Jest.W Reguły Sieci >> Reguły Globalne >> Zastosowane przed Regułami Aplikacji
Tu można blokować porty ale ostroznie,bo te reguły sa nadrzedne.

W jakim firewallu?