посмотрел на своей висте сп1 nestat -a -n -o
> 49152, wininit.exe
> 49153, непонятно. Держит svchost в котором пачка сервисов. Стопнул все кроме event log и dhcp - порт открыт. Убил svchost и перезапустил event log и dhp - порта никто не открыл ;-\
Ладно, приатачился к одному из svchost'ов. Конкретно к тому который держит 49153. Понаставлял бряк и стал к нему телнетом коннектиться. В результате пришел к выводу что это имеет какое то отношение к RPC.
Итак сокет нарисовался так:
WS2_32!WSASocketW+0x2
RPCRT4!WS_SubmitAccept+0x43
RPCRT4!WS_NewConnection+0x13c
RPCRT4!COMMON_ProcessCalls+0x2b6
RPCRT4!LOADABLE_TRANSPORT::ProcessIOEvents+0x138
RPCRT4!ProcessIOEventsWrapper+0xd
RPCRT4!BaseCachedThreadRoutine+0x5c
RPCRT4!ThreadStartRoutine+0x1e
kernel32!BaseThreadInitThunk+0xe
ntdll!__RtlUserThreadStart+0x23
ntdll!_RtlUserThreadStart+0x1b
Аксептить микрософт не стал стандартным способом, а позвал mswsock!MSAFD_AcceptEx
Далее были такие вызовы:
762dfca4 e89683f7ff call RPCRT4!IsHTTPv1Protocol
762dfcb0 e8b44ffdff call RPCRT4!HttpSendIdentifyResponse
На что я просто не знал что сказать ему в телнете и закрыл нафиг. RPC закрыл сокет честно позвав closesocket.
Остальных не дебажил, спать охота. Есть предположение что какие то сервисы поднимают RPC сервера, и RPCRT4 открывает порты под них сразу. 135й порт - это ведь просто mapper, через который RPC договаривается куда будет идти подключение дальше для конкретного RPC подключения. RPC под вистой был переписан на корню, возможно теперь RPC все время сервера держат порты открытыми порты. А указанные процессы просто юзают RPC.
[upd]
Предположение подтвердилось экспериментом: убил svchost "содержащий" сервисы eventlog, audiosrv, dhcp и еще чета. svchost держал порт 49153. Ручками стартанул dhcp - svchost поднялся, в нем dhcp. портов не занимает. Потом стартанул eventlog - и новорожденный svchost открыл порт 49180. Т.е. это явно порты, поднимаемые RPC рантаймом. Причем из определенного пула >=49152, возможно для облегчения конфигурения файрволла.
когда я ети порты фаерволом забанил у меня интернет пропал...15.04.08 01:46 Автор: + <Mikhail> Статус: Elderman
когда я ети порты фаерволом забанил у меня интернет пропал на фиг (после reboot),
я подозревю что ето "Plug and play" порту, и поетому мой ДСЛ роутер перестал общаться с вистой :(
P.S.вот уроды, как теперь фаерволом закрыться?
Эммм. А тот файрволл на каком уровне фильтрует? Локально...15.04.08 01:52 Автор: Killer{R} <Dmitry> Статус: Elderman
> когда я ети порты фаерволом забанил у меня интернет пропал > на фиг (после reboot), > я подозревю что ето "Plug and play" порту, и поетому мой > ДСЛ роутер перестал общаться с вистой :( > > P.S.вот уроды, как теперь фаерволом закрыться? Эммм. А тот файрволл на каком уровне фильтрует? Локально можно подключиться к этому порту со своей системы? Если нет - ничего удивительно. Винда сама с собой по RPC возможно общаться пытается по этим портам)
у кого Виста проверте что у вас там крутится13.04.08 04:34 Автор: + <Mikhail> Статус: Elderman
> что за порты на висте > 49152,49153,49154,49155,49156,49157,49159,61215,62715,61214 > ? Если они были обнаружены сканированием извне (nmap и прочее подобное) - то именно так Microsoft Windows Vista себя ведёт при сканировании её - выдаёт кучку (проде как местами идущих подряд) портов как открытые.
По-крайней мере, что-то такое я получил, просканировав в прошлый раз компьютер с Vista. Точно открытого там порта 21 nmap не показал при этом.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
