Jump to content


Friends, we are happy to invite you to our NEW Global Kaspersky Club! Please follow this link www.kasperskyclub.com , sign-in and enjoy our new platform!


Photo

P2P Experten sind gefragt ...


  • Please log in to reply
28 replies to this topic

#1 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 05 July 2007 - 10:25 PM

Ich teste KIS gerade mit eMule, dabei ist mir einiges noch nicht ganz klar:

Vorab:
1.) Gehört Port 0 zwingend zum ICMP Protokol?
2.) Läuft "echo reply" vorzugsweise über Port 0?
3.) IMHO gehört Port 0 zu den "Well Known" Ports, allerdings taucht er in diversen Beschreibungen immer wieder als "reserved" (für Punkt 1. und 2.?) auf.
4.) Wenn man alle notwendigen "eMule" Ports mittels Regel in KIS übergibt, dann kommen keinerlei Meldungen/Anfragen mehr von KIS. Allerdings kommen in unregelmäßigen Abständen Meldungen/Anfragen über ausgehende UDP-Pakete in Vebindung mit svchost.exe von diversen Remote-Ports 0.

Beispiel einer KIS/Firewall-Meldung
Beschreibung:
Generic Host Process for Win32 Services

Verbindung:
Richtung: Ausgehende
Protokoll: UDP
Remote-IP-Adresse: x12A345.dip0.t-ipconnect.de (xxx.xxx.yyy.zzz)
Remoteport: 0
Lokaler Port: 1680

Müsste dies nicht zwangsläufig bedeuten dass viele eMule-Anwender Port 0 für den Datenverkehr nutzen? Was will ein "Remoteport 0 User" von meiner "svchost.exe" Ich verstehe noch nicht so viel von eMule, ist dass mt Port 0 hier "normal"? Laut PID befinden sich unter der svchost.exe einige Services, doch keiner weisst direkt auf Emule hin. Kommt dies etwa garnicht von eMule? Es läüft aber nur diese Anwendung. :lol:

PS Ich habe die Frage bewusst nicht im offiziellem Forum gestellt, da ich nicht sicher bin ob ich hier nicht vielleicht einen "generellen Verständnisfehler" habe.

Edited by TwinBit, 05 July 2007 - 10:26 PM.


#2 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 07 July 2007 - 05:04 PM

Ich nutze emule schon lange mit KIS, hatte aber in diesem Zusammenhang nie Anfragen bzgl. svchost.exe und Port 0. Dass das mit emule zu tun hat, kann ich mir nicht vorstellen.

In meinen emule-Regeln sind UDP und TCP jeweils ausgehend unbeschränkt erlaubt.

Eingehende Verbindungen sind wie folgt erlaubt:
UDP auf lokalen Port 4672
TCP auf lokalen Port 4662

Für diese Ports ist auch das Forwarding im Router eingerichtet.

In den Einstellungen von emule sind diese Ports ebenfalls definiert. Stehen da andere drin, müssen natürlich diese für die FW-Regeln genommen werden.

So läuft emule bei mir prima und mit hoher ID für Ed2k und Kad. Stealth-Modus ist in KIS aktiviert.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#3 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 08 July 2007 - 01:58 AM

Es hängt definitiv mit eMule zusammen, denn solange das Programm nicht läuft, erhalte ich auch keinerlei Anfragen bezügl. Remote Port0. Zum Thema "High oder Low ID": Auch bei mir wird immer "High ID" angezeigt. Eben erhielt ich kurz hintereinander drei der besagten Anfragen:

Bild4.gif

Bild5.gif

Bild6.gif

#4 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 08 July 2007 - 08:50 PM

Demnach müsstest du, um Ruhe zu haben, im Regelwerk von svchost.exe UDP ausgehend auf Remoteport 0 freigeben. Die IP und der lokale Port variieren ja ständig. Nur, was hat das evtl. für Risiken? Ich weiß es auch nicht.

Zum Verständnis:
Erhältst du diese Meldungen einfach so beim Betrieb von emule, oder kommen sie nur, wenn du bei aktivem emule irgendeine Verbindung (z. B. über den Browser) herstellst?

Ich frage so dumm, weil sonst würde ja praktisch emule alleine die svchost.exe dazu veranlassen, diese Verbindungen auf Port 0 anzufordern. Und das ist bei mir, wie gesagt, noch nie passiert. Ich habe für svchost.exe auch keine Regeln, die das erlauben würden, müsste also ggf. auch solche Meldungen erhalten.

Hast du evtl. in den Einstellungen von emule unter Verbindungen die UPnP-Funktion aktiviert? Die ist dafür da, die emule-Ports im Router automatisch und temporär freizugeben, wenn der Router UPnP unterstützt. Für UPnP scheint nämlich svchost.exe irgendwie zuständig zu sein, zumindest weisen die Standardregeln darauf hin (die bei mir aber nicht aktiviert sind). Ich habe aber auch den UPnP-Dienst deaktiviert.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#5 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 09 July 2007 - 04:14 AM

Demnach müsstest du, um Ruhe zu haben, im Regelwerk von svchost.exe UDP ausgehend auf Remoteport 0 freigeben. Die IP und der lokale Port variieren ja ständig. Nur, was hat das evtl. für Risiken? Ich weiß es auch nicht.


Dessen bin ich mir auch nicht im klaren. Und ausserdem bekomme ich dann nie heraus, was "Remoteport nuller" von meiner svchost.exe wollen bzw. welcher Service dahinter beansprucht werden soll.

Zum Verständnis:
Erhältst du diese Meldungen einfach so beim Betrieb von emule, oder kommen sie nur, wenn du bei aktivem emule irgendeine Verbindung (z. B. über den Browser) herstellst?


Es läuft ausschließlich eMule ... kein geplanter Task ... kein unbekannter Prozess ... kein Update ... kein gar nichts. Allerdings passiert das auch wenn ich n-andere Sachen am Rechner mache. Es scheint eine gewisse "Regelmäßigkeit" hinter den Anfragen zu stecken - lange Zeit passiert nichts - dann, ganz unverhoft, kommen vier,fünf sechs Anfragen auf einmal. (ohne das womöglich eMule der Server gewechselt hat etc.)

Ich frage so dumm, weil sonst würde ja praktisch emule alleine die svchost.exe dazu veranlassen, diese Verbindungen auf Port 0 anzufordern. Und das ist bei mir, wie gesagt, noch nie passiert. Ich habe für svchost.exe auch keine Regeln, die das erlauben würden, müsste also ggf. auch solche Meldungen erhalten.


So sehe ich es im Moment auch ... Client xyz fordert über seinen Lokal Port 1234 (für mich Remoteport 0) ein UDP über meinen Lokalport 1886 an. Mein eMule (v.48) managed den ganzen Vorgang, KIS merkt dass und mault! KIS mault i.d.R. aber nur, wenn bestimmte Vorgänge im Regularium nicht abgesegnet sind. (Trainingsmodus) Da ich die "Standard Regeln für eMule" an KIS übergeben habe kann es hieran nicht liegen. Ergo: Ich müsste in der Tat die Regeln für die svchost.exe erweitern, wenn ich besagte Meldungen/Anfragen nicht erhalten wollte. Da ich aber die "Standard Regeln" aus der KIS Installation übernommen habe, macht mich das Ganze stutzig und meine Beobachtungen diesbezügl. irgendwie einzigartig.

Hast du evtl. in den Einstellungen von emule unter Verbindungen die UPnP-Funktion aktiviert? Die ist dafür da, die emule-Ports im Router automatisch und temporär freizugeben, wenn der Router UPnP unterstützt. Für UPnP scheint nämlich svchost.exe irgendwie zuständig zu sein, zumindest weisen die Standardregeln darauf hin (die bei mir aber nicht aktiviert sind). Ich habe aber auch den UPnP-Dienst deaktiviert.


Nein, eMule ist im großen und ganzen, unverändert. Ich habe ausschließlich optische Anpassungen vorgenommen und die Verbindungsart meinen Verhältnissen entsprechend eher konservativ angepasst. Knoppix bspw. geht in ~30 Minuten, währenddessen erhalte ich u.U. 4 - 7 "Remoteport 0 Anfragen".

Mein Windows ist ein Standard-Image, so wie ich es immer für die KIS Tests verwende. Es ist nicht einfach entsprechende Hinweise im Zusammenhang mit "Remoteport 0" und "eMule" zu finden. Ich könnte das Thema "eMule" jetzt ad Acta legen, allerdings wurmt es mich das ich nichts zu diesem Thema finde! Niemandem sonst scheint diese Sache in Verbindung mit "eMule" und "KIS" bisher aufgefallen zu sein - Ich wills einfach wissen! Wenn ich doch nur herausfinden könnte auf welchen Service es die Remoteport nuller abgesehen haben :)

#6 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 09 July 2007 - 02:16 PM

Kommst du mit den KIS-Standardregeln für emule klar? Bei mir funktionieren die nicht optimal. Ich werde dann ständig mit Anforderungen für ein- und ausgehende UDP-Verbindungen bombardiert, wobei alle Parameter variieren. Erlaube ich UDP ausgehend uneingeschränkt, ist Ruhe. Komischerweise kommen dann auch keine Anforderungen mehr für eingehende UDP-Verbindungen, obwohl ich die nur für Localport 4672 erlaubt habe. Schon seltsam. Ich komme auch nicht dahinter, was emule da eigentlich genau macht.

Ich kann natürlich alternativ alle nicht erlaubten TCP- und UDP-Verbindungen per Abschlussregel verbieten. Das hat aber zur Folge, dass ich nur noch für Kad eine grüne Verbindung bekomme. Für ed2k erhält man keine Serververbindung, außer man wählt einen Server, der über den im Standard-Regelwerk freigegebenen Port 4661 erreichbar ist. Dann geht es sogar mit hoher ID. In der Serverliste sind die Ports jeweils hinter der IP angegeben. Die Anzahl der nutzbaren Server sinkt dann allerdings drastisch.

Versuchs doch einfach mal mit meinen Regeln, die ich dir anfangs genannt hatte. Vielleicht erhältst du dann keine Port 0-Anfragen mehr.

Du könntest natürlich auch in den Regeln für die svchost.exe eine abschließende Verbotsregel für jeglichen ausgehenden UDP-Verkehr setzen (evtl. auch eine für TCP). Dann sollte auch Ruhe sein. Ob das negative Auswirkungen auf emule hat, siehst du ja dann.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#7 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 09 July 2007 - 11:56 PM

Hi Red,

Ich verwende eben diese Regeln:

In meinen emule-Regeln sind UDP und TCP jeweils ausgehend unbeschränkt erlaubt.

Eingehende Verbindungen sind wie folgt erlaubt:
UDP auf lokalen Port 4672
TCP auf lokalen Port 4662


Und wie gesagt, eigentlich ist sonst alles "auf Standard". Mit den KIS-Standardregeln klappt es, soweit ich das beurteilen kann sehr gut. Ich bekomme auch absolut keine Anfragen von KIS - ausser der "Remoteport 0 Dinger" eben. Vielleicht kann man ja soetwas wie: Verbieten ausgehende (Strom) UDP Verbindungen, wobei Remoteport: 0 machen. Ich habe darüber noch nicht weiter nachgedacht, aber ich meine irgendwo solche Regeln in einer Vorlage gesehen zu haben. Zusätzliche Regeln für die svchost.exe möchte ich eigentlich nicht erstellen, zumindest solange ich nicht weiß welche Rolle die überhaupt dabei spielt.

#8 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 10 July 2007 - 01:01 AM

Das wundert mich aber, dass die emule-Standardregeln bei dir keine zusätzlichen Anfragen verursachen. Wie kann das sein? Ich komme, wie beschrieben, damit überhaupt nicht klar. Als Ausgleich dafür bekomme ich keine Port 0-Anfragen. :lol: Muss man das wirklich verstehen?

Die von dir genannte Verbotsregel ist machbar und sollte funktionieren - aber nur, wenn du sie in den Regelsatz von svchost.exe einfügst. Bei emule brauchst du sie nicht einfügen, denn die Anforderung auf Remoteport 0 kommt ja nicht von emule. Bedenken hätte ich da keine, denn alles, was bisher für svchost.exe erlaubt ist, bleibt ja trotz dieser Verbotsregel erlaubt. Und du erlaubst ja nichts ungewisses, sondern du verbietest es. Solange du das Verbot nur auf Port 0 beschränkst, ist es auch egal, ob die Regel oben oder unten steht. Es gibt ja keine anderen Regeln für Port 0. Nur wenn du UDP generell verbietest, müsste sie an letzter Stelle stehen (also nachrangige Priorität haben), um nicht die Erlaubnisregeln zu neutralisieren. Aber es ist besser, nur Port 0 zu verbieten, weil sich KIS sonst selbst im Trainingsmodus nicht mehr meldet, falls mal ein anderer UDP-Port gebraucht würde.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#9 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 10 July 2007 - 02:30 AM

Das mit der Verbotsregel war vielleicht ein wenig missverständlich ausgedrückt. "Verbieten ausgehende (Strom) UDP Verbindungen, wobei Remoteport: 0" könnte ich verwenden wenn ich wüsste was diese ständigen Anfragen denn zu bedeuten haben. Doch solange ich das nicht herausgefunden habe werde ich sie auch nicht anwenden. (Natürlich im vorhandenen svchost Regularium) Evtl. können mir die Anfragen ja noch hilfreich sein. Das mit Deinen Anfragen kommt mir jetzt aber auch etwas komisch vor! Ich meine das dies die einfachsten und sinnvollsten Regeln sind die man erstellen kann, und ich gehe davon aus das so ziemlich jeder der KIS manuell konfiguriert eben jene benutzt. Dabei fällt mir ein ... kann es sein das Dein Router "Remoteport 0 Anfragen" unterdrückt weil es Lt. IANA ein Reserved Port ist? Ich habe jetzt keinen Nerv meinen Router rauszufummeln um ihn in das Kabelgewirr nebst Modem,ISDN,Kekskrümel und HiFi-Anlage einzuschleifen ... :lol:

tcpudp.gif

#10 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 10 July 2007 - 06:03 AM

Während ich weiterhin o.g. Anfragen bekomme, habe ich die entsprechende svchost Instanz mal näher in Augenschein genommen. (Tasklist /SVC @cmd prompt) Dabei zeigten sich die folgenden Komponenten/Services:

AudioSrv, BITS, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, RasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, UxTuneUp, W32Time, winmgmt, wscsvc, wuauserv, WZCSVC

Desweiteren interessiert mich i.d. Zusammenhang die unten markierte Zeile:

Informationen zum Prozess
Prozessname: svchost.exe
Prozess-ID: 704
Anwendungsdatei: C:\WINDOWS\system32\svchost.exe
Befehlszeile: -K NETSVCS


Die obigen Zeilen stammen aus der von KIS erstellten Meldung/Anfrage (Ausgehendes UDP-Paket an Remoteport 0) und sind dort unter "Details" aufgeführt. Wie kann ich "-K NETSVCS" interpretieren? H i e r habe ich einen Ersten Ansatz zu dem Parameter "-K" in Verbindung mit "NETSVCS" entdeckt. Nachrichten sind in eMule deaktiviert, "Messenger" (egal welcher couleur) existieren auf meinem System nicht. Fehlerberichterstattung und Automatisches (Windows) Update ist deaktiviert. (Auch wenn es aktiv ist kommen die Meldungen) Und ja, die Meldungen kommen ausschließlich wenn eMule gestartet ist. :lol:

Edited by TwinBit, 10 July 2007 - 06:18 AM.


#11 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 12 July 2007 - 01:54 AM

Das mit Deinen Anfragen kommt mir jetzt aber auch etwas komisch vor! Ich meine das dies die einfachsten und sinnvollsten Regeln sind die man erstellen kann, und ich gehe davon aus das so ziemlich jeder der KIS manuell konfiguriert eben jene benutzt.

Die von dir abgebildeten Regeln sind aber nicht die emule-Standardregeln von KIS, es sei denn die hätten sich inzwischen geändert. (Ich ex- und importiere meine Regeln bei jeder Neuinstallation, deshalb wäre mir das nicht aufgefallen.)

Es sind dieselben Regeln, die ich auch verwende, mit einem kleinen Unterschied:

Die erste Regel für Port 4665 wird nicht (mehr) benötigt. Es reichen Regeln für die beiden in emule festgelegten Ports.
Die zweite Regel für Port 4672 kann auf eingehende (Strom) UDP-Pakete beschränkt werden, denn UDP ausgehend ist in Regel 4 für alle Ports erlaubt.

Mit diesen Regeln erhalte ich keine ständigen Meldungen, nur mit den KIS-Standardregeln klappts nicht.

Dass der Router Remoteport 0-Anfragen blockiert, kann ich mir nicht vorstellen. Eingehend ja, aber nicht ausgehend. Deine Meldungen betreffen ja nur ausgehende Verbindungen.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#12 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 12 July 2007 - 03:32 AM

Jetzt hat's "klick" gemacht! :) Ich dachte Du hättest von diesen (s.u.) Regeln, also quasi, von Deinen Standardregeln gesprochen. Soweit ich das nämlich überblicke, kommen diese Regeln recht häufig bei eMule Anwendern vor. Das war der Grund weshalb ich an "Standardregeln" dachte. :blink: Das wirft natürlich ganz andere Perspektiven auf :) Ich werde das gleich mal überprüfen und die KIS-Regelvorlagen für eMule eintragen.

In meinen emule-Regeln sind UDP und TCP jeweils ausgehend unbeschränkt erlaubt.
Eingehende Verbindungen sind wie folgt erlaubt:
UDP auf lokalen Port 4672
TCP auf lokalen Port 4662


Jetzt bin ich aber gespannt ... melde mich.

#13 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 13 July 2007 - 03:50 AM

Hi Red,

ich habs jetzt eine Zeit lang mit den "Vorlage-Regeln" aus KIS versucht. Es brachte mir zwischenzeitlich einige "LowIDs" (ausser bei KAD) welche ich vorher nicht hatte. Heute habe ich mein 'Image" wieder aufgespielt, nochmal die "Vorlage-Regeln" ausgewählt und irgendwie ging gar nichts mehr ... LowIDs und Hinweise/Erlauben/Verbieten ... en gros ... dass war wie auf der Jagd! :o Ich werde wieder die "alten" Regeln verwenden und erstelle dann eine Verbotsregel bezgl. Remoteporte 0. So kann ich wenigstens halbwegs normal weiter testen.

Es liegt also nicht an Dir oder Deinem System - Die "KIS Vorlage-Regeln" sind in der Tat nicht so das pralle! :(

#14 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 13 July 2007 - 06:03 AM

Nein, das sind sie wirklich nicht.

Ich habe in der Zwischenzeit auch nach (Remote)Port 0 rumgesucht, aber nichts griffiges gefunden, das die Sache irgendwie erhellen würde. Im emule-Forum wird dieses Phänomen auch nicht erwähnt. Scheint ja wirklich ein exotischer Fall zu sein, bei dir.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#15 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 13 July 2007 - 06:45 AM

Ich kapiers ja auch nicht! In den einschlägigen Foren bekomme ich, ganz nebenbei, fast "durch die Bank" ''ne mittelschwere Lebenskrise" Sich da "durchzuwühlen" is' Hölle! :( Wie auch immer ... ich werde mir noch einmal die KIS-Standardregeln zu Gemüte führen, denn mit diesen hattest Du ja nie "Remoteport 0" Anfragen und in o.g. Foren habe auch ich nicts gefunden was mir dieses "Phenomän" erklärt. Ich kapiere einfach nicht welche Voraussetzungen bei mir anders sind wie bei denen die noch nie solche Meldungen erhalten haben. Liegt es daran weil ich ohne Router und (oft) mit ICS arbeite? (kann ich mir nicht wirklich vorstellen!) Ich werde dieser Tage mal ein Modem benutzen, welches ich sohwohl als reines Modem (Bridge-Modus) als auch als Router benutzen kann - mal sehen was dann passiert. Nochmal zu den KIS Standardregeln: Welche Probleme gab es denn bei Dir? Ich hatte, wie schon erwähnt, mein OS-Image zurückgespielt, die 48A installiert, die KIS .125 Regelvorlage implementiert und wurde von Meldungen und "gelben Pfeilen" fast erschlagen! (Nur KAD war immer grün)