Ratkaistu! svchost.exe incoming speed? (ylimääräistä netti liikennettä)

mitään ideoita?

 

Jos jotakin liikennettä on niin se näkyy esimerkiksi
netstat -an komennolla seuraavasti:
Proto Paikallinen osoite Vieras osoite Tila PID
TCP oma.ip.oso.iteortti osoite.jonne.on.yhteysortti ESTABLISHED
Tila pitää olla ESTABLISHED

 

mutta jos tuon mukaan ei yhteyksiä ollut auki, niin miten voi olla että Sunbelt, Bandwidht monitor sekä tehtävienhallinnan verkko välilehhti ilmoittaa dataa liikkuvan sisään päin?

 

Tällaista luki utu.fi:n atk-keskuksen sivuilla.
Mutta eikai tässä nyt tästäkään ole kyse?


utu.fi-verkossa on paljon koneiden keskinäistä liikennettä. Osa on peräisin huonosti ylläpidetystä koneista, joita käyttäen madot ja muut haittaohjelmat pyrkivät levittämään itseään eteenpäin, osa normaalia verkkoliikennettä — esim. Windowsin automaattista verkkoympäristön tutkailua jaettujen levyjen ja tulostimien löytämiseksi. Henkilökohtaiset palomuurit tuppaavat markkinoimaan muutaman paketin osumista palomuuriin hyökkäyksenä, vaikka sitä se ei välttämättä ole.

Atk-keskus sulkee virusvaivaisia koneita, mutta resursseja ei ole käyttäjien henkilökohtaisten palomuurien ilmoituksien käsittelyyn. Helpoimmalla pääsee, kun pitää huolen, että oma kone on päivitetty ajan tasalle, virustorjunta on käytössä, ja luottaa palomuurin suojaan sen ilmoittamista "hyökkäyksistä" välittämättä.

Ilmoituksen arvoisia hyökkäyksiä ovat esim. utu.fi-verkon koneilta tulevat murtoyritykset SSH-porttiin ja Nmap-skannaukset.

 

Mitä se sunbelt sanoo nyt? Laita vaikka ruutukaappaus. Kertooko se tietoja sovelluksesta? Ja edelleen sulje se liikenne mitä se väittää oelvan. Voit hyvin lähteä siitä että estät kaiken ulkoa tulevan liikenteen. Samoin estä kaikki ulospäin lähtevä. Sitten availet liikenteen jonka pitää päästä ulospäin. http, https, ntp? ja jos sunbeltissä määritellään mikä ohjelma saa liikennöidä niin siltä pohjalta sitten. Sovellus ja portti. Ainakin opit ymmärtämään palomuurin toiminnan.

 

Käsittääkseni kaikki ulkoatuleva liikenne pitäisi olla jo suljettu.

Ruudun kaappaus:
http://lh3.ggpht.com/_j0CuWRGu59E/SZ_0J_Vs0bI/AAAAAAAACZw/mn2JLCJtw6g/s800/kaappauskuva.jpg

ainut millä tuon sisään tulevan liikenteen saa pysäytettyä on tuo "estä liikenne" nappi, joka pysäyttää kaiken. sama efekti siis kuin piuhan irroittaminen seinästä.

 

Tässä toinen kuva sunbeltistä.
(näillä asetuksilla ei pääse enää nettiä selaamaan, mutta dataa yhä liikkuu sisään.

http://lh5.ggpht.com/_j0CuWRGu59E/SZ_33muvtNI/AAAAAAAACas/gZAO8K5yRzk/s640/kaappaus ohjelmat2.jpg

 

Tässä kuvassa (siis jälkimmäisessä kuvassa) yhteydet sisään pitäisi näkyä punaisina nuolina. Kuitenkin siinä on vain kaksi vihreää nuolta. Missä nuo yhteydet sisään ovat? Olisiko tässä nyt kyse siitä että paikallinen (tietokoneen sisäinen) liikenne näytetään/näkyy harhaanjohtavasti liikenteenä joka tulisi koneen ulkopuolelta. Sitten mitä tarkoittaa kuvassa Paikallinen osoite sarakkeessa sana 'Kaikki'. Minä en näillä tiedoilla olisi kovin huolestunut. Mielenkiintoista tietysti että mokkulalla ei liikennettä ole vain kaapelilla.

 

sitä minäkin mietin että jos se sisäiseen liikenteeseen sekottaisi, mutta jokainen mittari näyttää samaa, niin tuotakaan on vaikea uskoa.
Ja varsinkin se herättää epäilystä, kun ei mokkulalla näy tuota liikennetä. tuosta kyllä sanasta ei ole hajuakaan.

 

Ei jokainen. netstat -an ei osoita oelvan avoimia yhteyksiä.

 

no olikiko jotain keinoa vielä varmistaa, että mitään ei varmasti pääse sisään?

 

Siihen käytetään palomuuria.

 

joo sen tiedänkin, mutta palomuuri näyttää että dataa tulee sisään.
eli tarkoitin jotain banwidht monitor tyyppistä ohjelmaa. johon voisi luottaa että se ei sekoita sisäistä liikennettä tuohon mukaan.

koska ei tuo nyt mielestäni ihan normaalilta vaikuta, että palommuri bandwidht monitor sekä tehtävienhallinta näyttää liikennettä olevan sisäänpäin mutta netstat -ab ei ...!?!

 

kokeilin vaihtaa comodoon, joka näytti seuraavaa:

http://lh3.ggpht.com/_j0CuWRGu59E/SaBBuk9wAUI/AAAAAAAACbQ/QS9BhnWuJBs/s640/comodo.jpg

Outoa taas että tuokin näyttää että 0 sisäänpäin tulevaa yhteyttä, mutta tehtävienhallinta sekä banwidht monitor näyttää datan liikkuvan...

mitä ihmettä tämä voi tarkoittaa?
voiko tässä nyt oikeasti olla sitä mieltä että kaikki on ok?

 

Otin yhteyttä tuonne utu.fin ylläpitoon josta tuli tällainen vastaus:

Tämä ylimääräiseltä vaikuttava liikenne johtuu verkon broadcast liikenteestä. Kaikki verkon koneet ovat samassa verkossa ja lähettäessään broadcast muotoista liikennettä (esim. etsiessään verkosta reititintä), ne lähettävät sen kaikille koneille. Liikennemäärä saattaa vaikuttaa suurelta, mutta verkossa on tuhansia koneita, jolloin pelkästä broadcast liikenteestäkin muodostuu näkyvää liikennettä.

Eli kaikki on ilmeisesti ok...
Mitä tuo broadcast liikenne sitten mahtaakaan tarkoittaa...?

 

Tästä löytyy tietoa. http://fi.wikipedia.org/wiki/Yleislähetys

edit Kaiketi palomuurisi sitten päästää tuo broadcast liikenteen läpi koska bandwidht monitor näyttää liikennettä olevan. Muistaakseni olen kyllä tuon broadcast liikenteenkin estänyt joissakin tapauksissa.