Alins

Мультикаст, Блокировка порта на ТКД

Рекомендованные сообщения

Здравствуйте. Уже несколько месяцев происходит блокировка порта, как объясняют из-за рассылки пакетов. Начиналось вроде как с заявки #190444537. Каждую неделю звоню, соединяют с инженером, все рекомендации выполняю. И снова порт блокируется, где-то дней через 5-6., и происходит это когда я отлучаюсь от компьютера на несколько часов.

Рекомендации от инженеров:

В тореенте 1.8.2 отключали «поиск локальных пиров». В сетевых настройках оставили галочки только на «планировщик пакетов QoS» и «IP версии 4». Далее полностью отказывался от торрента 1.8.2 перешёл на qBittorrent, это тоже не дало результата, поэтому вернулся на 1.8.2. Без торрента вообще не могу жить, так что не пользоваться им даже не советуйте, это как не дышать воздухом. Далее, была полностью переустановлена Windows10. Один из инженеров прислал файл «DNSMulticast_Fix», после добавления в реестр, проблемы не было около месяца. Потом началось всё заново. Посоветовали поставить софт Wireshark, в фильтре вписал как в инструкции «ether host d4:85:64:95:aa:10 and multicast», при блокировки порта ничего софт не зафиксировал, видимо что-то не так вбил в фильтр, прошу сказать что надо вбивать?

До появления проблемы, я не устанавливал ничего нового на свой ПК. Ни программ не игр. Только если сам Windows обновлялся. По сети играю только в Mass Effect Andromeda c марта 2017 года, антивирус Касперский секьюрити. Большая часть софта на ПК лицензия либо бесплатные версии. Услугами провайдера пользуюсь уже более 15 лет. Проблем таких не было. Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте выполнить действия, предложенные здесь (главное -- выполнить первый из описанных шагов, и если что найдёт (см. лог), то долечите антивирусом): если в автозагрузке компа есть зловреды, то этими действиями они будут убраны из автозагрузки.

 

Изменено пользователем Sergey Ozerov
  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Плохой совет вы мне дали. Я проделал шаг 1, в итоге он ничего не выявил, SmartFix уничтожил мне всю систему восстановления и нарушил Windows Boot Manager. Я решил восстановить винду с образа Акронис, но виндовс больше не грузится. Теперь буду пробовать вернуть к жизни так как описано здесь. https://remontka.pro/0xc0000225-error-windows/ Хорошо, что я хоть додумался поставить ваш софт на предыдущую винду, а не на ту которую переустанавливал недавно.

Вчера тестил количество пакетов через Wireshark. За 7 часов, без действия ПК, прошло 600тысяч пакетов (пока я спал). За 1час лазанья по сети прошло 2милиона200тысяч пакетов. За 1час со включенным торрентом, прошло 200милионов пакетов. Что считается нормой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Alins писал:

Плохой совет вы мне дали. Я проделал шаг 1, в итоге он ничего не выявил, SmartFix уничтожил мне всю систему восстановления и нарушил Windows Boot Manager.

"Ничего не выявил" несовместимо с "уничтожил систему восстановления": на экран он никакой диагностики и не выдаёт, а пишет всю диагностику в папку %WINDIR%\SmartFix. С диска он так же никаких файлов не удаляет, а лишь убирает автозапуск не подписанных сертификатами электронной подписи файлов и файлов, подписанных скомпрометированными сертификатами, причём восстановить (при желании и уверенности в том, что автозапуск данного файлп необходим) можно через msconfig. Кстати, содержимое папки %WINDIR%\SmartFix (обычно %WINDIR% = C:\WINDOWS, т.е. после подстановки имя папки должно выглядеть как C:\WINDOWS\SmartFix) можете куда-нибудь выложить -- для анализа?..

Вчера тестил количество пакетов через Wireshark. За 7 часов, без действия ПК, прошло 600тысяч пакетов (пока я спал).

600000 пакетов / 7 часов = 85714 пакетов/час / 60 мин/час = 1429 пакетов/мин / 60 сек/мин = 24 пакета/сек

Если это было на исходящем (source address = IP-адрес Вашей сетевой карты) трафике, то для состояния покоя 24 пакета в секунду -- это много. Но вообще, конечно, надо смотреть сам дамп, чтобы определить, куда оно ломилось. Чтобы не разбирать гигабайты логов, я бы сделал так: остановил все пользовательские сетевые задачи (utorrent, интернет-браузер, IPTV, скайп и прочие мессенджеры и т.п.), подождал бы час, чтобы уменьшился входящий P2P-трафик от того же uTorrent'а, после этого собрал бы WireShark'ом дамп сетевой активности за минуту (или за 10 секунд, если там -- действительно 24 пакета в секунду) и выложил бы архив с этим дампом для анализа.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

почти та же самая история - у меня 2 компа - на одном семёрка на второй недавно установил ХР HOME - и вот с этой Хрюшкой сразу начались проблемы с сетью - как только попробовал её активировать через интернет то сеть сразу-же вырубилась - позвонил в Билайн , сказали что от меня идёт подозрительный трафик и робот мне автоматически отключил сеть - хорошо, активировал по телефону, потом решил зайти на Виндоуз Упдате и скачать обновления, врубил поиск обновлений и снова робот мне вырубил сеть - звоню на Билайн и снова отвечают что от меня идут подозрительные пакеты и робот вырубет меня от сети - на Семёрке таких проблем нету и не было никогда - может кто знает что нужно настроить в XP чтоб при подключении к интернету меня робот не отключал ???

....никаких торрентов да и вообще никаких программ на Хрюше у меня не установлено - она новая только вчера её установил

Изменено пользователем казявка
вспомнил ещё

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часа назад, Sergey Ozerov писал:

Чтобы не разбирать гигабайты логов, я бы сделал так: остановил все пользовательские сетевые задачи (utorrent, интернет-браузер, IPTV, скайп и прочие мессенджеры и т.п.), подождал бы час, чтобы уменьшился входящий P2P-трафик от того же uTorrent'а, после этого собрал бы WireShark'ом дамп сетевой активности за минуту (или за 10 секунд, если там -- действительно 24 пакета в секунду) и выложил бы архив с этим дампом для анализа.

Вот сделал, это за одну минуту. Было всё выключено, кроме каспера, и комп был в простое более часа перед этим.

https://drive.google.com/open?id=1QRstcLf2spL4Kb5NmYMPkmUlMeF9RfzA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, Alins писал:

Вот сделал, это за одну минуту. Было всё выключено, кроме каспера, и комп был в простое более часа перед этим.

https://drive.google.com/open?id=1QRstcLf2spL4Kb5NmYMPkmUlMeF9RfzA

Из "странного" мультикастового исходящего трафика я вижу здесь обращения каждые 5 секунд с Вашего компа на протоколе Loopback (0x9000), MAC-адрес назначения (специфичный для этого протокола) -- CF:00:00:00:00:00. У меня на Win-7 SP1 таких исходящих пакетов ни разу не зафиксировано. Ну, и ещё какой-то софт с Вашего компа один раз за эту минуту зачем-то полез на IP-адрес 212.8.236.72 (хостер -- datapro.ru) на порт TCP 7786 (см. пакеты 43..45 в Вашем дампе). Попробуйте в Касперском (если у Вас -- KIS, т.е. имеется возможность отслеживания работы с сетью из Касперского) включить логирование обращений к этому IP-адресу, чтобы определить, какой софт у Вас туда лезет. Есть ещё странный броадкастовый внутрисегментный (на IP-адрес 255.255.255.255) пакет номер 36 с неверной, по мнению WireShark'а, контрольной суммой в данных протокола HIP и с IP-адресом отправителя 0.0.0.0, но не думаю, что софт провайдера как-либо негативно среагировал бы на этот единичный пакет...

Если окажется, что для нормальной работы с сетью Билайна Вам необходимо блокировать мультикастовый исходящий трафик протокола Loopback, то функции блокировки такого протокола в KIS-2017 (настройка сети -> пакетные фильтры -> создать новый фильтр) я не нашёл и не думаю, что они появились в последующих версиях. Соответственно, в этом случае либо пинайте техподдержку Касперского (может, подскажут, как напрямую в реестре блокировку протокола прописать), либо отключайте сетевой фильтр в Касперском и используйте вместо него, например, брандмауэр Windows: насколько мне помнится, там функция блокировки протоколов по номеру есть изначально.
 

  • Like 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
17 часа назад, Alins писал:

Плохой совет вы мне дали. Я проделал шаг 1, в итоге он ничего не выявил, SmartFix уничтожил мне всю систему восстановления и нарушил Windows Boot Manager.

Прочитав совет, решил прогнать по компу и ноуту SmartFix. Ничего он не порушил, просто убрал из автозагрузки всякую хрень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
13 часа назад, казявка писал:

почти та же самая история - у меня 2 компа - на одном семёрка на второй недавно установил ХР HOME - и вот с этой Хрюшкой сразу начались проблемы с сетью - как только попробовал её активировать через интернет то сеть сразу-же вырубилась - позвонил в Билайн , сказали что от меня идёт подозрительный трафик и робот мне автоматически отключил сеть - хорошо, активировал по телефону, потом решил зайти на Виндоуз Упдате и скачать обновления, врубил поиск обновлений и снова робот мне вырубил сеть - звоню на Билайн и снова отвечают что от меня идут подозрительные пакеты и робот вырубет меня от сети - на Семёрке таких проблем нету и не было никогда - может кто знает что нужно настроить в XP чтоб при подключении к интернету меня робот не отключал ???

....никаких торрентов да и вообще никаких программ на Хрюше у меня не установлено - она новая только вчера её установил

такое у меня было. (видимо xp очень "дырява" и вирусы из сети ее в момент "сжирают") давно не использую эту ос но помогала установка всех обновлений до подключения интеренета( то есть предварительного другим компом  выкачивались все обновления записывались на диск и после того как установил xp устанавливаешь обновления)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, =FPS_Colonel_13 писал:

Прочитав совет, решил прогнать по компу и ноуту SmartFix. Ничего он не порушил, просто убрал из автозагрузки всякую хрень.

После её установки. Я решил восстановить систему с точки восстановления, он написал, что он этого сделать якобы не может. Тогда я решил, залить последний образ через акронис, залил, винда не грузится. Хотя это всегда срабатывало. Выскакивает код ошибки 0x0000225. Проделал все варианты из этих ссылок:

http://windowserror.ru/windows-7/oshibki-0xc0000225/

https://16rom.com/ru/blog/windws-7-0x0000225

https://remontka.pro/0xc0000225-error-windows/

https://windowstips.ru/kak-ispravit-vash-kompyuter-neobxodimo-vosstanovit-kod-oshibki-0xc0000225

Не помогло. Как винду запустить теперь.? Она хоть и запасной была, но почему она не запускается после восстановления с акрониса, не понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часа назад, kolhoznypunk писал:

такое у меня было. (видимо xp очень "дырява" и вирусы из сети ее в момент "сжирают") давно не использую эту ос но помогала установка всех обновлений до подключения интеренета( то есть предварительного другим компом  выкачивались все обновления записывались на диск и после того как установил xp устанавливаешь обновления)

да обновления я все установил оффлайн (сборка обновлений от simplix) - но я вот думал думал над этой моей проблемой и подумал на неправильную настройку безопасности подключения ( у меня L2tp)- раньше было (разрешить только проверка CHAP) :

2L4HW.png

а сейчас переделал на (обычные рекомендованные параметры) :

2L4J5.png

и вот наверно в понедельник позвоню в техподдержку инженерам и  с ними протестирую будет вырубаться интернет или нет при такой настройке.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, казявка писал:

подумал на неправильную настройку безопасности подключения ( у меня L2tp)

Для подключения через билайновский L2TP необходимо через реестр винды отключить IPSEC -- для этого создайте файл с любым именем и расширением .reg, после чего запустите этот файл и подтвердите запись в реестр. В самом этом файле должно быть следующее:

REGEDIT4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001

Изменено пользователем Sergey Ozerov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 мин назад , Sergey Ozerov писал:

.....после чего запустите этот файл и подтвердите запись в реестр....

да это я первым делом в реестре изменил - это я всё давным-подавно знаю ! спс

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
08.09.2018 в 03:42, Sergey Ozerov сказал:

Ну, и ещё какой-то софт с Вашего компа один раз за эту минуту зачем-то полез на IP-адрес 212.8.236.72 (хостер -- datapro.ru) на порт TCP 7786 (см. пакеты 43..45 в Вашем дампе). Попробуйте в Касперском (если у Вас -- KIS, т.е. имеется возможность отслеживания работы с сетью из Касперского) включить логирование обращений к этому IP-адресу, чтобы определить, какой софт у Вас туда лезет.

Да у меня KIS, как это сделать, это логированное обращение?

 

08.09.2018 в 03:42, Sergey Ozerov сказал:

Из "странного" мультикастового исходящего трафика я вижу здесь обращения каждые 5 секунд с Вашего компа на протоколе Loopback (0x9000), MAC-адрес назначения (специфичный для этого протокола) -- CF:00:00:00:00:00. У меня на Win-7 SP1 таких исходящих пакетов ни разу не зафиксировано.

Ну и что с этим делать.

Вчера вот опять заблокировали., 9дней продержался. К сожалению не был включен Wireshark, и не понятно из-за чего было. Хотя если бы он и был включен я бы всё равно не понял сам. Я в этом ничего не понимаю. Инженер мне огласил статистику мультикаста, он происходил чуть ли ни через день по понемногу, от кудаж мне знать из-за чего это происходит. Иногда я пользуюсь kaspersky security connection, может быть по полчаса максимум. Из-за этого не может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, казявка сказал:

попробуй в групповых политиках отключить многоардесное разрешение имён :

У меня уже статус "Не задан"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, казявка сказал:

так надо сделать чтоб был статус  ВКЛЮЧЕНА

Включил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
38 минут назад, Alins сказал:

Включил

ну и млдц :D теперь от тебя мультикаст-шторм не должен идти - ага

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
12 часов назад, Alins сказал:

Да у меня KIS, как это сделать, это логированное обращение?

В настройках "Сетевого экрана" KIS добавьте пакетное правило для "адреса из списка", в списке заполнить поле "удалённый адрес" 212.8.236.0/24 (так задаётся диапазон адресов 212.8.236.0-212.8.236.255), внизу поставить галку "Записывать события", прочие настройки в этом меню формирования нового правила не меняйте. После сохранения этого правила в общем списке оно окажется внизу -- поднимите его наверх (поставьте первым). После этого, по идее, входящие пакеты с этого диапазона адресов и исходящие пакеты на этот диапазон адресов должны протоколироваться в логе сетевого экрана Касперского. Хотя и не поручусь, что в KIS эта функция вообще работает: они постоянно курочат свой файрволл...
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Sergey Ozerov сказал:

в списке заполнить поле "удалённый адрес" 212.8.236.0/24 (так задаётся диапазон адресов 212.8.236.0-212.8.236.255

Пишет "Неверный формат" я погуглил, вроде вы всё правильно написали. Не понимаю почему он это пишет. Я и копировал и в ручную забивал, не помогло.

Неверный формат.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, Alins сказал:

Пишет "Неверный формат" я погуглил, вроде вы всё правильно написали.

У меня в KIS-2017 (версия 17.0.0.611, патч "m") это работает. Либо у Вас версия -- старая (я уже не помню, как там в старых надо было диапазоны адресов задавать), либо в новой (2018 или 2019) версии опять что-то сломали. Попробуйте спросить в техподдержке Касперского (лучше -- e-mail'ом с этим скриншотом или через инцидент в личном кабинете) -- возможно, что признают, что разработчики снова напортачили, и пообещают исправить в следующей версии или в следующем патче.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
08.09.2018 в 08:27, kolhoznypunk сказал:

(видимо xp очень "дырява" и вирусы из сети ее в момент "сжирают") 

Какая-то из сборок ХР содержит баг в виде постоянной отсылки в сеть мусорных данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MotoBiker1995 - да эту проблему с сетью я уже решил, тут дело было в неправильно подключённом оборудовании - вот тут я всё разъяснил

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
19.09.2018 в 14:05, Sergey Ozerov сказал:

Попробуйте спросить в техподдержке Касперского

Сказали надо поставить KIS2019, там это исправлено. В общем поставил, пакетное правило создал.

 

19.09.2018 в 04:26, Sergey Ozerov сказал:

должны протоколироваться в логе сетевого экрана Касперского

Где этот лог посмотреть теперь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
25 минут назад, Alins сказал:

Где этот лог посмотреть теперь?

На примере KIS-2017 (в KIS-2019 могли изменить наименование пунктов меню): Основное окно KIS -> Больше функций (попадаем при этом в окно "Инструменты") -> Отчёт (подробнее) -> Подробные отчёты -> вместо "Все события" выбрать "Сетевой экран".
 

Когда закончите анализ, удалите это правило, чтобы сеть не тормозило...
 

Изменено пользователем Sergey Ozerov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой анализ я должен закончить? Я экспортировал данные в текстовой документ. Вам его куда-то залить?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, залейте куда-нибудь на обменник, если там есть что-то кроме "Задача запущена" / "Задача завершена"...
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18.09.2018 в 20:40, казявка сказал:

ну и млдц :D теперь от тебя мультикаст-шторм не должен идти - ага

Уже 27 дней никакого мультикаста. На даже, куча инженеров из билайна мне не смогли помочь, а пользователь под ником "Казявка" смог. Тебя надо обязательно главным экспертом брать к ним в офис. В общем спасибо тебе. надеюсь это навсегда.

Изменено пользователем Alins

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Через пару месяцев снова появилась эта проблема. Посоветовали купить роутер от Билайна. Теперь всё хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас