Форум АНТИЧАТ - Непонятные TCP коннекты ..

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)

- - Непонятные TCP коннекты .. (https://forum.antichat.xyz/showthread.php?t=113663)

Непонятные TCP коннекты ..

Сегодня чувствовал, что интернет вообше тормозит :)
(он у меня и так тормознутый, 64кбит/с)
работал тогда с IE8, а потом пробоал mozilla - тоже самое. странички короче откываются очень долго. открыл Tcpview и остался не довольным, че-то слишком много подключений, хотя в этот момент у меня подключен м-агент, аська и ради эксперимента одноклассники (или mail.ru).
вот лог:

Код:

[System Process]:0        TCP        127.0.0.1:2990        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:2994        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:2996        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:2998        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:2988        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3048        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3049        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3058        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3060        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3064        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3068        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3056        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3062        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3048        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3072        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3042        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3083        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3052        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3095        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3119        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3115        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3113        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3113        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3093        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3127        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3123        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3129        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3108        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:2621        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:2623        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3125        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3131        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3135        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:30606        127.0.0.1:3121        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3137        127.0.0.1:30606        TIME_WAIT        

[System Process]:0        TCP        127.0.0.1:3088        127.0.0.1:30606        TIME_WAIT        

alg.exe:3852        TCP        127.0.0.1:1040        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3964        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3099        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3081        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3078        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3077        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3107        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:1299        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3090        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3965        64.12.26.166:5190        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:1300        94.100.181.63:2041        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        192.168.1.60:3047        212.119.208.26:80        FIN_WAIT1        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        192.168.1.60:3092        81.177.156.86:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3086        81.177.30.112:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3091        81.176.227.88:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3079        81.176.227.80:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3080        81.177.156.16:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3082        81.177.140.148:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3110        81.177.140.147:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3112        81.177.140.47:80        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3111        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3105        81.177.140.29:80        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3097        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3098        81.177.140.155:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3106        81.177.156.249:80        ESTABLISHED        

ekrn.exe:1216        TCP        192.168.1.60:3100        81.177.140.155:80        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        127.0.0.1:3046        CLOSE_WAIT        

ekrn.exe:1216        TCP        192.168.1.60:3102        81.177.140.155:80        ESTABLISHED        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

ekrn.exe:1216        TCP        127.0.0.1:30606        0.0.0.0:0        LISTENING        

explorer.exe:1336        UDP        127.0.0.1:1025        *:*                

firefox.exe:5688        TCP        127.0.0.1:3085        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3087        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3090        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3077        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3078        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3081        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3101        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3103        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3104        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3107        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3111        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3097        127.0.0.1:30606        ESTABLISHED        

firefox.exe:5688        TCP        127.0.0.1:3099        127.0.0.1:30606        ESTABLISHED        

lsass.exe:1820        UDP        0.0.0.0:500        *:*                

lsass.exe:1820        UDP        0.0.0.0:4500        *:*                

magent.exe:1028        TCP        127.0.0.1:1299        127.0.0.1:30606        ESTABLISHED        

qip.exe:200        TCP        127.0.0.1:3964        127.0.0.1:30606        ESTABLISHED        

svchost.exe:1136        UDP        192.168.1.60:1900        *:*                

svchost.exe:1136        UDP        127.0.0.1:1900        *:*                

svchost.exe:1136        UDP        192.168.0.10:1900        *:*                

svchost.exe:280        UDP        192.168.1.60:123        *:*                

svchost.exe:280        UDP        127.0.0.1:123        *:*                

svchost.exe:280        UDP        192.168.0.10:123        *:*                

svchost.exe:900        UDP        0.0.0.0:1071        *:*                

svchost.exe:900        UDP        0.0.0.0:4281        *:*                

svchost.exe:900        UDP        0.0.0.0:1863        *:*                

svchost.exe:900        UDP        0.0.0.0:1026        *:*                

svchost.exe:900        UDP        0.0.0.0:4279        *:*                

svchost.exe:900        UDP        0.0.0.0:3074        *:*                

svchost.exe:900        UDP        0.0.0.0:3075        *:*                

svchost.exe:900        UDP        0.0.0.0:3076        *:*                

System:4        TCP        192.168.1.60:139        0.0.0.0:0        LISTENING        

System:4        TCP        192.168.0.10:139        0.0.0.0:0        LISTENING        

System:4        UDP        192.168.1.60:137        *:*                

System:4        UDP        192.168.0.10:137        *:*                

System:4        UDP        192.168.1.60:138        *:*                

System:4        UDP        192.168.0.10:138        *:*

сканировал полностью комп - вирусов нету. у меня всегда стоял NOD32 и никогда проблем не был с ним.
Есть какие то подозрение?

P.S. ОС - WIND XP SP3

Цитата:

сканировал полностью комп - вирусов нету. у меня всегда стоял NOD32 и никогда проблем не был с ним.
Есть какие то подозрение?

Все соединения фильтрует нод. В аутпосте даже есть предустановка на эти порты.
Выруби "Защита доступа в интернет".

Цитата:

Сообщение от echobyte

я аутпост не испльзую. ибо хватает встроенный фаер NOD32. (версия ESS 4.0)
А отключить Защита доступа в интернет че то не думаю, что хорошее решение.
ведь несколько дней назад все в порядке было.

А что здесь аномального или вы уже на глаз научились определять?

Цитата:

Сообщение от SpangeBoB

А что здесь аномального или вы уже на глаз научились определять?

что определять? ну когда много подключение и тормоит интернет - это еще можно подумать?
по вашему - в этом логе все в порядке ?

Соединений не много,но за счет удваивания через nod кажется что много.Что за соединения ,что нам телепатировать что происходит (если происходит обмен информацией конечно можно и одним соединением канал загрузить)? Не каких результатов от чего оттолкнуться ,как можно сказать "тормозит" интернет?
Где pathping,nslookup и относительно чего сравнить(нормальное состояние тоже не показали)?

Цитата:

Где pathping,nslookup и относительно чего сравнить(нормальное состояние тоже не показали)?

вечером выложу pathping,nslookup а насчет нормального состояния ничего сказать не смогу, т.к. не думал что такое будет, чтоб снять логи.

P.S.
А вообше что за

Цитата:

[System Process]:0 TCP 127.0.0.1:3060 127.0.0.1:30606 TIME_WAIT

???
зачем из там много и все "ждут" ?

Открой CMD и включи Netstat.

Там ещё можно разобраться, а тисипивью иногда фигню городит.

Про TimeWait прочитать подробней здесь ( http://technet.microsoft.com/ru-ru/library/cc759700.aspx) ,что именно происходит.

Цитата:

Сообщение от Leo_ня

Открой CMD и включи Netstat.

Там ещё можно разобраться, а тисипивью иногда фигню городит.

хорошо, вечером посмотрю и напишу

SpangeBoB

Цитата:

Про TimeWait прочитать подробней здесь ( http://technet.microsoft.com/ru-ru/library/cc759700.aspx) ,что именно происходит.

кстати это вообше меня ввел в заблуждения.. у емня локальная SYN - ACK атака чтоли ? :eek:

Цитата:

кстати это вообше меня ввел в заблуждения.. у емня локальная SYN - ACK атака чтоли ? :eek:

Где то в таблице разве есть в столбце State состояние SYN RECEIVED,нет так с чего вообще решили что это локальная SYN атака.

PS вот поэтому дамперы сразу видны,т.к обязательным требованием на экзамене 70-291 является понимание основ TCP/IP.Да еще и подробно рассмотрены Мониторинг и Диагностика неисправностей TCP/IP.

все по очереди:
netstat

Код:

 Proto  Local Address          Foreign Address        State

 TCP    home-xp:1113           localhost:30606        ESTABLISHED

 TCP    home-xp:1116           localhost:30606        TIME_WAIT

 TCP    home-xp:1120           localhost:30606        TIME_WAIT

 TCP    home-xp:1122           localhost:30606        ESTABLISHED

 TCP    home-xp:1124           localhost:30606        ESTABLISHED

 TCP    home-xp:1127           localhost:30606        ESTABLISHED

 TCP    home-xp:1131           localhost:30606        ESTABLISHED

 TCP    home-xp:1139           localhost:30606        ESTABLISHED

 TCP    home-xp:1141           localhost:30606        ESTABLISHED

 TCP    home-xp:1145           localhost:30606        ESTABLISHED

 TCP    home-xp:1149           localhost:30606        TIME_WAIT

 TCP    home-xp:1153           localhost:1155         TIME_WAIT

 TCP    home-xp:1154           localhost:30606        TIME_WAIT

 TCP    home-xp:1156           localhost:30606        TIME_WAIT

 TCP    home-xp:1158           localhost:30606        ESTABLISHED

 TCP    home-xp:1161           localhost:30606        TIME_WAIT

 TCP    home-xp:1162           localhost:1160         TIME_WAIT

 TCP    home-xp:1165           localhost:30606        ESTABLISHED

 TCP    home-xp:1169           localhost:30606        TIME_WAIT

 TCP    home-xp:30606          localhost:1111         TIME_WAIT

 TCP    home-xp:30606          localhost:1113         ESTABLISHED

 TCP    home-xp:30606          localhost:1118         TIME_WAIT

 TCP    home-xp:30606          localhost:1122         ESTABLISHED

 TCP    home-xp:30606          localhost:1124         ESTABLISHED

 TCP    home-xp:30606          localhost:1127         ESTABLISHED

 TCP    home-xp:30606          localhost:1129         TIME_WAIT

 TCP    home-xp:30606          localhost:1131         ESTABLISHED

 TCP    home-xp:30606          localhost:1133         TIME_WAIT

 TCP    home-xp:30606          localhost:1137         TIME_WAIT

 TCP    home-xp:30606          localhost:1139         ESTABLISHED

 TCP    home-xp:30606          localhost:1141         ESTABLISHED

 TCP    home-xp:30606          localhost:1145         ESTABLISHED

 TCP    home-xp:30606          localhost:1147         TIME_WAIT

 TCP    home-xp:30606          localhost:1151         TIME_WAIT

 TCP    home-xp:30606          localhost:1158         ESTABLISHED

 TCP    home-xp:30606          localhost:1163         TIME_WAIT

 TCP    home-xp:30606          localhost:1165         ESTABLISHED

 TCP    home-xp:30606          localhost:1167         TIME_WAIT

 TCP    home-xp:30606          localhost:1171         TIME_WAIT

 TCP    home-xp:30606          localhost:1173         TIME_WAIT

 TCP    home-xp:1114           mrim20.mail.ru:2041    ESTABLISHED

 TCP    home-xp:1117           bucp2-vip-m.blue.aol.com:5190  TIME_WAIT

 TCP    home-xp:1121           bucp2-vip-m.blue.aol.com:5190  TIME_WAIT

 TCP    home-xp:1123           64.12.26.164:5190      ESTABLISHED

 TCP    home-xp:1125           64.12.30.80:5190       ESTABLISHED

 TCP    home-xp:1128           unknown-413.agava.net:http  ESTABLISHED

 TCP    home-xp:1132           unknown-413.agava.net:http  ESTABLISHED

 TCP    home-xp:1140           unknown-413.agava.net:http  ESTABLISHED

 TCP    home-xp:1142           unknown-413.agava.net:http  ESTABLISHED

 TCP    home-xp:1146           unknown-413.agava.net:http  ESTABLISHED

 TCP    home-xp:1157           dyna-down1.nslb.sj.mozilla.com:http  TIME_WAIT

 TCP    home-xp:1159           mirrors.evolva.ro:http  ESTABLISHED

 TCP    home-xp:1166           mu-in-f100.google.com:http  ESTABLISHED

 TCP    home-xp:1170           nol-vip03.cwwtf.bbc.co.uk:http  TIME_WAIT

NSLOOKUP

Код:

C:\>nslookup

*** Can't find server name for address 192.168.1.1: Server failed

*** Default servers are not available

Default Server:  UnKnown

Address:  192.168.1.1

## адрес 192.168.1.1 - это мой шлюз (DSL Модем)

>

PATHPING

Код:

C:\>pathping www.mail.ru



Tracing route to www.mail.ru [194.67.57.26]

over a maximum of 30 hops:

  0  home-xp [192.168.1.60]

  1  192.168.1.1

  2  host-88-215-134-252.stv.ru [88.215.134.252]

  3  7301-ge00.stv.ru [212.96.103.66]

  4  7301-ge00.stv.ru [212.96.103.66]

  5  SVL11-F00.104.transtelecom.net [217.150.37.210]

  6     *     TTK-lgw.Moscow.gldn.net [194.186.0.193]

  7  cat01.Moscow.gldn.net [194.186.157.134]

  8  mailru-KK12-1-gw.Moscow.gldn.net [195.239.8.10]

  9  mail.ru [194.67.57.26]



Computing statistics for 225 seconds...

            Source to Here   This Node/Link

Hop  RTT    Lost/Sent = Pct  Lost/Sent = Pct  Address

  0                                           home-xp [192.168.1.60]

                                0/ 100 =  0%   |

  1    1ms     0/ 100 =  0%     0/ 100 =  0%  192.168.1.1

                                0/ 100 =  0%   |

  2   29ms     0/ 100 =  0%     0/ 100 =  0%  host-88-215-134-252.stv.ru [88.215

.134.252]

                                1/ 100 =  1%   |

  3   29ms     5/ 100 =  5%     4/ 100 =  4%  7301-ge00.stv.ru [212.96.103.66]

                                0/ 100 =  0%   |

  4   28ms     1/ 100 =  1%     0/ 100 =  0%  7301-ge00.stv.ru [212.96.103.66]

                                1/ 100 =  1%   |

  5   35ms     5/ 100 =  5%     3/ 100 =  3%  SVL11-F00.104.transtelecom.net [21

7.150.37.210]

                                0/ 100 =  0%   |

  6   54ms     2/ 100 =  2%     0/ 100 =  0%  TTK-lgw.Moscow.gldn.net [194.186.0

.193]

                                1/ 100 =  1%   |

  7   67ms     8/ 100 =  8%     5/ 100 =  5%  cat01.Moscow.gldn.net [194.186.157

.134]

                                0/ 100 =  0%   |

  8   55ms     3/ 100 =  3%     0/ 100 =  0%  mailru-KK12-1-gw.Moscow.gldn.net [

195.239.8.10]

                                5/ 100 =  5%   |

  9   52ms     8/ 100 =  8%     0/ 100 =  0%  mail.ru [194.67.57.26]



Trace complete.



C:\>

Цитата:

PS вот поэтому дамперы сразу видны,т.к обязательным требованием на экзамене 70-291 является понимание основ TCP/IP.Да еще и подробно рассмотрены Мониторинг и Диагностика неисправностей TCP/IP.

та какие дампы? и причем тут вообше 70-291? если все так просто был бы - почитал книгу и все знаешь, то нахрен вообше столько форумы и всякие ресурсы?
там в книге описан в основном локальные проблемы, DNS, DHCP.. заголовки tcp/ip и поверхностно описание TCP/IP протокола. если я читал только книгу посвяшен 70-291, то я даже не набрал бы 200 баллов, т.к. там мало что написано - еще и правильно.
так что ненадо тут писать то, о чем незнайте.

Цитата:

70-291 это экзамен по сетевой инфраструктуре.Причем тут книга,когда Microsoft требует знания по TCP/IP, должен обладать сдающий и уж точно знать как происходит соединение.Я прекрасно знаю,что написано в книге и лабораторные есть по Network Monitor,где отображены этапы соединения.
А у MCSA такая база является обязательной.

Цитата:

This training kit requires that students meet the following prerequisites:
■ 18 months professional experience working with Windows networks
■ Familiarity with networking concepts equivalent to that of a CompTIA Network+
certification

В книге указано где искать более углубленную информацию.Так что опять вы перевернули факты.

home-xp > localhost соединения трафик не жрут. Это соединения на твоём компе.
Скорее всего браузер > темп и тому подобное.
Ибо, когда у тебя страница уже кешированная, то соединения идут на твоём компе к этому кэшу.

Так же это может быть НОД, он ведь трафик через себя пускает.

Можешь установить одну софтину, Proxifier например.
Там видно, что куда коннектится.
> скачать < (cthbqybr прилагается)))))

SpangeBoB

И что хотите сказать ? мои знание совпадают с MCSA. я сам готовился и сдал. вот именно 70-291 - со второго раза :))) ну суть в том, что здал. и дампы тут не причем.

Leo_ня
насчет НОД_а че то не верится, что он виноват, т.к. довно с ним работаю и когда такого не видел.
Proxifier у меня довно уже стоит :) он только инетрнет сдоединение показывает.
да мне кажется, что засоряется внутренный трафик.. т.е. интерфейс 127.0.0.1.

http://tinyurl.com/dmdrtm ^_^

во, пля, приехали !
мой почтовый ящик взломан!!!! надо к интуиции доверять, когда что то не то. все таки у меня компьютер был перехвачен или стоит кейлоггер :(
и никакой 70-291 экзамен тут не причем ! да и сам MCSA тоже.

мде.. а поюзать CAD (Ctrl+Alt+Del :D) и regedit на наличие автозагрузки? :)

хотя, до этого редко догадываются)) у меня на мыле 13к писем от шпиона :))))

и я так и не пойму, почему так никто и не сменит пароль на мыле отправителя? это ж легче простого)))

Leo_ня
спасибо, не тупой.