Generic host Process for Windows32 Services

Begonnen von Sanchy, 19. Januar 2007, 20:14:09 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

Sanchy

19. Januar 2007, 20:14:09 Uhr
der generic host process versucht - seit ich außgehenden dns-verkehr bei meiner deskrop firewall verboten habe - ständig kontakt mir der source ip 192.168.01:53 aufzunehmen. die zone-alarm firewall verweist auf:

http://fwalerts.zonelabs.com/fwanalyze.jsp?record=ZLN42270022385954-4901/1c9f8fb011037410b71025a7&tab=overview (http://fwalerts.zonelabs.com/fwanalyze.jsp?record=ZLN42270022385954-4901/1c9f8fb011037410b71025a7&tab=overview)

ich vermute dass mein pc als webserver fungieren will, da ich noch eine homepage bei meinem anbieter habe, die ich aber sei jahren nicht mehr nutze...
bin aber trotzdem etwas beunruhigt, da ich den namen oft in zusammenhang mit trojanern gelesen habe..meine scans wurden aber bisher auf dem system schon seit längerem nicht mehr fündig.

könnt ihr mir irgend nen ratschlag geben ob sichs um nen trojan handelt oder was es sonst sein könnte?

LeMurmel

19. Januar 2007, 20:22:27 Uhr #1
Dein Computer versucht nur DNS-Adressen aufzulösen (genau das ist der Sinn vom Port 53), deswegen fragt er zuerst im Router (IP = 192.168.0.1) nach ob dort eine Umleitung/Sperre für die angeforderte Adresse eingetragen ist. Wenn alles okay ist, wird der DNS-Server (dessen IP häufig temporär im Router gespeichert ist, weil meist vom Provider vorgegeben) beauftragt die Adresse in eine IP aufzulösen.

Also kein Grund zur Panik :)
Der Unterschied zwischen Theorie und Praxis ist in der Praxis erheblich größer als in der Theorie.

gandal

19. Januar 2007, 20:37:13 Uhr #2
Wenn Du tatsächlich DNS gespeert hättest, könntest Du gar nicht mehr surfen oder Mails empfangen/senden.
DNS ist das Adressbuch des Internets, wenn man es abschaltet geht über symbolische Namen wie "www.hwe-forum.de" gar nichts mehr.
DYNDNS könnte gar nicht funktionieren.
         
Real Programmers code in binary

Sanchy

19. Januar 2007, 20:54:11 Uhr #3
hmm, okay bin ich erst mal beruhigt...
aber wieso blockiert meine firewall dann diesen vorgang? bisher funkt trotzdem weiterhin alles..

ich hab mal die entsprechenden bilder angehängt, vll. versteht ihr dann was ich meine... :-\

gandal

20. Januar 2007, 13:28:52 Uhr #4 Letzte Bearbeitung: 20. Januar 2007, 13:34:33 Uhr von gandal
Auszug von http://de.wikipedia.org/wiki/Domain_Name_System (http://de.wikipedia.org/wiki/Domain_Name_System)
ZitierenDNS-Anfragen werden normalerweise per UDP Port 53 zum Nameserver gesendet. Der DNS-Standard erlaubt aber auch das TCP Protokoll. Falls kein Extended DNS verwendet wird (EDNS), beträgt die maximal zulässige Länge des DNS-UDP-Pakets 512 Bytes. Überlange Antworten werden daher abgeschnitten übertragen. Durch Setzen des Truncated-Flags wird der anfragende Client über diesen Sachverhalt informiert. Er muss dann entscheiden, ob ihm die Antwort reicht oder nicht. Gegebenenfalls wird er die Anfrage per TCP Port 53 wiederholen.

Zonentransfers werden stets über Port 53 TCP durchgeführt. Die Auslösung von Zonentransfer erfolgt aber gewöhnlich per UDP.

Ich würde das erlauben. Ausserdem hast Du scheinbar Dein internes Netz als "unsicher" (Internet) makiert.
Das wiederum findest Du in den Zoneneinstellungen.


Du kannst auch die Schalter für ausgehende DNS/DHCP-Anfragen aktivieren. -> erster Screenshot
         
Real Programmers code in binary

Sanchy

20. Januar 2007, 21:55:40 Uhr #5
es macht irgendwie keinen unterschied ob man ausgehende dns/dhcp erlaubt oder nicht, außer dass die firewall dauernd damit beschäftigt ist die anfrage zu blockieren, wenn eine neue seite aufgerufen wird.

noch ne frage: Was ist eigentlich genau die sichere Zone und was die Internet Zone? Wo besteht der Unterschied?

ZA hat GPfW32S nämlich Hausverbot in der Internet-Zone (Server) erteilt...
Benutzer-Aktionen
Drucken
Nach oben Seiten1