svchost e scambio dati

[akasa]

Salve a tutti, per fare una prova ho bloccato (tramite kerio) l'invio e la ricezione di pacchetti al file svchost.exe per vedere un po' cosa fa e ho notato che ho tante chiamate in uscita. Ho provato una serie di ip e appartenevano a windowsupdate ma ho anche tante connessioni con
"a213-254-17-38.deploy.akamaitechnologies.com"
sapete dirmi di cosa si tratti?
grazie

[Stev-O]

hai fatto una risoluzione dns/ip?

[akasa]

Quote:

Originariamente inviato da Stev-O

hai fatto una risoluzione dns/ip?

che tradotto in italiano?

[Stev-O]

hai provato su dnslookup.com a che ip corrisponde?

potresti fare una scansione di controllo con ewido per fugare ogni dubbio

[akasa]

Quote:

Originariamente inviato da Stev-O

hai provato su dnslookup.com a che ip corrisponde?

potresti fare una scansione di controllo con ewido per fugare ogni dubbio

faccio la scansione. mi sa che son connessioni normali perchè ewido non trova mai niente. Ma quale dovrebbe essere la configurazione corretta per svchost.exe in "internet" e "rete conosciuta" (che credo sia la 127.0.0.1)?
grazie

[Stev-O]

ah lia spetta casomai qualcuno che usa kerio perchè io i firewall software non li uso: penso anch'io che non sia nulla di serio cmq

[akasa]

Quote:

Originariamente inviato da Stev-O

ah lia spetta casomai qualcuno che usa kerio perchè io i firewall software non li uso: penso anch'io che non sia nulla di serio cmq

ho trovato questo che parla di akamitechnologies ...

[Ciaba]

svchost lo devi bloccare su:
- porta locale 135-139 per qualsiasi indirizzo IP, protocollo TCP in entrata

gli devi consentire invece:
- porta remota 53(win Update), qualsiasi indirizzo IP(o il range degli indirizzi MSUpdate), invio datagrams.
- porta remota 80(win Update), qualsiasi indirizzo IP(o il range degli indirizzi MSUpdate), protocollo TCP in uscita.
- porta remota 443(win Update), qualsiasi indirizzo IP(o il range degli indirizzi MSUpdate), protocollo TCP in uscita.

Il resto è da blindare.

127.0.0.1 è il Local Host, c'è su tutti i computer, è uno spazio virtuale dove alcuni software "lavorano" ed elaborano i flussi di dati per varie funzioni. Sul mio Pc svchost nn usa tale indirizzo per alcuna funzione, ma potresti avere dei servizi particolari(riconducibili a svchost), che lo usano e che io nn ho attivati. Se vuoi quindi sapere meglio quale parte di svchost usa il Local Host puoi vederlo con ProcessExplorer...ti darà una descrizione dettagliata del servizio interessato e dell'eventuale connessione a un IP.

[akasa]

Quote:

Originariamente inviato da Ciaba

svchost lo devi bloccare su:
- porta locale 135-139 per qualsiasi indirizzo IP, protocollo TCP in entrata

gli devi consentire invece:
- porta remota 53(win Update), qualsiasi indirizzo IP(o il range degli indirizzi MSUpdate), invio datagrams.
- porta remota 80(win Update), qualsiasi indirizzo IP(o il range degli indirizzi MSUpdate), protocollo TCP in uscita.
- porta remota 443(win Update), qualsiasi indirizzo IP(o il range degli indirizzi MSUpdate), protocollo TCP in uscita.

Il resto è da blindare.

127.0.0.1 è il Local Host, c'è su tutti i computer, è uno spazio virtuale dove alcuni software "lavorano" ed elaborano i flussi di dati per varie funzioni. Sul mio Pc svchost nn usa tale indirizzo per alcuna funzione, ma potresti avere dei servizi particolari(riconducibili a svchost), che lo usano e che io nn ho attivati. Se vuoi quindi sapere meglio quale parte di svchost usa il Local Host puoi vederlo con ProcessExplorer...ti darà una descrizione dettagliata del servizio interessato e dell'eventuale connessione a un IP.

Invio Datagram sarebbero UDP?

...e il resto come lo blindo?dovrei creare una regola senza specificare nulla e quindi se non trova riscontro com quelle precedenti...blocca? (mi sembra funzionino così le regole nei firewall...)


(grazie!!!)

[Ciaba]

Quote:

Originariamente inviato da akasa

Invio Datagram sarebbero UDP?

...e il resto come lo blindo?dovrei creare una regola senza specificare nulla e quindi se non trova riscontro com quelle precedenti...blocca? (mi sembra funzionino così le regole nei firewall...)


(grazie!!!)

...sinceramente nn mi ricordo bene come gestisce i flussi Kerio(e dire che l'ho usato ), prova con UDP comunque.
Nn mi ricordo neanche se si possono fare regole negative(sono un disastro), in caso si possa fanne una, altrimenti tieni conto che, una volta date, quelle regole, lo svchost nn dovrebbe chiederti più niente(sempre che tu non abbia servizi a cui si appoggia avviati), quindi la regola negativa(in questo caso), è anche inutile.

[akasa]

Quote:

Originariamente inviato da Ciaba

...sinceramente nn mi ricordo bene come gestisce i flussi Kerio(e dire che l'ho usato ), prova con UDP comunque.
Nn mi ricordo neanche se si possono fare regole negative(sono un disastro), in caso si possa fanne una, altrimenti tieni conto che, una volta date, quelle regole, lo svchost nn dovrebbe chiederti più niente(sempre che tu non abbia servizi a cui si appoggia avviati), quindi la regola negativa(in questo caso), è anche inutile.

No sei stato molto utile Prima di creare regole generali ho settato in modo che domandi sempre...voglio vedere un po' a cosa si collega poi farò le regole anche perchè devo capire se per fastweb serve che apra qualche porta...
all'avvio ho una serie di richieste di invio udp che non capisco bene...vediamo bloccandole se succede qualcosa

[Ciaba]

Quote:

Originariamente inviato da akasa

No sei stato molto utile Prima di creare regole generali ho settato in modo che domandi sempre...voglio vedere un po' a cosa si collega poi farò le regole anche perchè devo capire se per fastweb serve che apra qualche porta...
all'avvio ho una serie di richieste di invio udp che non capisco bene...vediamo bloccandole se succede qualcosa

...dipende da quanti svchost hai nel taskmanager, mi sembra che di default Win con sp2 ne apra 6-7...per me erano troppi e li ho prortati a 3, quindi controlla se davvero ti servono tutti o no, altrimenti li seghi e ti eviti connessioni alla rete indesiderate.

[akasa]

Quote:

Originariamente inviato da Ciaba

...dipende da quanti svchost hai nel taskmanager, mi sembra che di default Win con sp2 ne apra 6-7...per me erano troppi e li ho prortati a 3, quindi controlla se davvero ti servono tutti o no, altrimenti li seghi e ti eviti connessioni alla rete indesiderate.

io ne ho 6 ma come faccio a fare in modo che non si aprono? non ho neanceh capito come si individua chi o cosa li abbia aperti

[Ciaba]

Quote:

Originariamente inviato da akasa

io ne ho 6 ma come faccio a fare in modo che non si aprono? non ho neanceh capito come si individua chi o cosa li abbia aperti

Appunto dicevo...scaricati ProcessExplorer della sysinternals, è una specie di TaskManager mooooooolto evoluto
Una volta che l'hai aperto vedrai che ci sono mostrati i processi proprio come nel TM a questo punto fai doppio click sui vari svchost e dalla finestra che ti si apre hai un ballino di informazioni tra cui le più importanti le trovi sotto le voci:
-services(quali reali servizi di win si nascondono dietro uno svchost)
-TCP\IP(cosa sta facendo tale svchost, a chi è connesso e con che protocollo)
-Performance Graph(la reale dimensione di memoria che di base win riserva a tale servizio)

Il primo(services), è quello che però ti interessa in questo caso in quanto vedrai i servizi(start>esegui>services.msc), legati a quel svchost. A questo punto nn ti resta che spippolare in rete per trovare quali servizi di win si possono disabilitare e quali no. In questo campo ci sono diverse scuole di pensiero, e soprattutto ogni persona utilizza Win in maniera personale quindi ci sono esigenze diverse da considerare. La miglior cosa è leggersi diverse guide e poi decidere in autonomia.
http://www.tweakness.net/index.php?link=reviews.php

Se vuoi ti posto come li ho sistemati io ma è solo una cosa indicativa.

[akasa]

Quote:

Originariamente inviato da Ciaba

Se vuoi ti posto come li ho sistemati io ma è solo una cosa indicativa.

ehm si grazie, farò con calma come mi hai detto, però il riferimento mi farebbe comodo

il servizio che più di tutti mi chiedeva le connessioni (in UDP) è il dnsrslvr.dll sulle porte 1041; 1345; 1348

... mi sa che le abilito o no ?

[Ciaba]

dnsrslvr.dll è il servizio Client DNS, io lo disabilito sempre...quindi che dirti...ti allego il file con i servizi e poi vedi te
Ovviamente da questa lista mancano i servizi dei componenti di Win che ho tolto con XPLite, quindi se nn trovi qualche servizio che te hai in lista cerca info in rete o all'indirizzo del post precedente.

[akasa]

Quote:

Originariamente inviato da Ciaba

dnsrslvr.dll è il servizio Client DNS, io lo disabilito sempre...quindi che dirti...ti allego il file con i servizi e poi vedi te

sei stato molto gentile. Grazie!!!