Конференция VBStreets

[Oxygen]

Последнее время в журнале событий проскакивают такие сообщения:
TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.

На практике это сказывается на систему так, что отрубается vpn соединение с провайдером, которое дает интернет. (провайдер Корбина)

На компе установлен постоянно обновляющийся DrWeb, вроде никакой заразы он не находит. p2p софта не установлено.... Есть только ssh сервер, но вроде по логам ничего страшного с ним не происходит (он переопределён на не стандартный порт). Другого софта который мог бы инициировать соединения вроде нет.... В логах тоже ничего не видно.

Как с этим бороться и в какую сторону копать?

P.S. система WinXP SP2

[nekeda]

Некоторые пользователи, участвующие в тестировке бета-версии второго сервис-пака для Windows XP обнаружили интересное подтверждение того, какими методами разработчики Microsoft предполагают бороться с распространением вирусов. Об этом свидетельствует запись в Журнале Событий одного из независимых тестировщиков:

EventID 4226
<TCP>/<IP> <has> <reached> <the> <security> <limit> <imposed> <on> the <number> <of> <concurrent> <TCP> <connect> <attempts>

Теперь предполагается, что в SP2 для Windows XP по умолчанию для протокола TCP/<IP> будет реализовано ограничение количества подключений в секунду, т.е. пропускная способность работы по этому протоколу будет лимитирована.
Сделано это якобы исключительно с благими намерениями препятствовать распространению различных вирусов, вроде нашумевшего Sasser.
К счастью, “лекарство” (в виде описания ключа реестра и его возможных значений) для лечения последствий заботы Microsoft, проявляющихся в виде замедления работы в сети, было найдено в недрах Базы Знаний софтверного гиганта:

TCP/IP and NBT Configuration Parameters for Windows XP (Q314053)
This is the key to add to modify the maximum number of simultaneous connections

TcpNumConnections
Key: TcpipParameters
Value Type: REG_DWORD - Number
Valid Range: 0 - 0xfffffe
Default: 0xfffffe

Description: This parameter limits the maximum number of connections that TCP can <have> open simultaneously (этот параметр ограничивает максимальное количество одновременных TCP-подключений).

Сделать это можно с помощью специальной заплатки, которую можно скачать с сайта www.lvllord.de или воспользовавшись утилитой xp-AntiSpy версии 3.9 (www.xp-antispy.org). Для последней в пункте меню «Special p Connection limit» вы можете выставить любое число одновременных сессий, однако помните, что при этом ваша система потенциально подвергается большей опасности.

[Oxygen]

Как-бы дело не в этом. Похоже на то, что нашла ответ на свой вопрос...

Это я убила Кенни! Ушла убиваццо ап стену.

А если серьезно, то похоже проблема была связана с тем, что со второго компа понахватали всякой заразы, и она создавала какие-то левые подключения. Что-то я недооценила современные вирусы... Думала, что если единственный путь компа в инет через socks5 проксю, то работать они не будут, но нет, они всё же работают. Поставила себе на комп фаервол, убедилась, что со второго компа генерится огромное количество TCP/IP соединение, поставила на него антивирус и нашла кучу троянов там. KIS7 удалил вирусы, но как-то это осособо не помогло особо, всё равно генерится большое количество соединений, хотя теперь их межсетевой экран частично блокирует, но не безрезультативно. Правда KIS постоянно вылетает с ошибкой.

Не понимаю, как можно сидя за кучей проксей и роутров понахватать такое количество вирей гуляя только по сайтам знакомств, мылу, и сайтам с онлайн игрушками.... Почему-то мне это не удавалось... (это так в тему о вечном и светлом...)

Ушла убиватьсо или ставить линукс. Там хотя бы проблем с вирусами нет...

[VVitafresh]

Не понимаю, как можно сидя за кучей проксей и роутров понахватать такое количество вирей гуляя только по сайтам знакомств, мылу, и сайтам с онлайн игрушками.... Почему-то мне это не удавалось... (это так в тему о вечном и светлом...)

Эт легко! По почте могли заслать. Недавно e-mail'ы нашей организации проспамили, в письме что-то типа:

Вы весь такой из себя замечательный, нам понравилась Ваша кандидатура, заполните резюме и пришлите на наш адрес.

Во вложении ссылочка на файлик resume.exe, и нашлись те, которые хотели "отправить резюме"

Ушла убиватьсо или ставить линукс. Там хотя бы проблем с вирусами нет...

У нас один даже под линуксом умудрился заразить вирусней WINE

[Oxygen]

Такс. Проблему удалось локализовать. Вот только исправить её удалось лишь временно, потому как отказаться от того вида сети, который есть не могу, в моих силах лишь отключить на время.... В кратце, проблема с дисконнектами впна по всей видимости всё же проблема роутера... А точнее вайфайной точки доступа. За пару часов до того как начались проблемы я её включила, и судя по логам на роутере с этого времени начали сыпаться в огромном количестве сообщение SYN Flood Atack Detect, хотя они сыпались и с отключенной точкой, но в разы в меньших количествах. Изменения типа защиты на wep2, установка 128 битного ключа шифрования, и авторизации по маку ни к чему не привели... Ради эксперимента точка бвла отключена, сутки интернет работает стабильно и без сбоев... Вопрос, кто с таким сталкивался, и как сие лечить?

P.S. роутер D-Link DI-624.
P.P.S. перепрошивка не помогает.

[alibek]

Советую поменять D-Link.
Для них это типичная проблема, они плохо работают с высокой нагрузкой.

[nekeda]

К вопросу об истонике проблемы:
Ещё раз проверить полностью обе машины на вирусы (выкинуть дрВеба и поставить альтернативу), прогнать AdAware. Включить брандмауер и/или сторонний фаер. На всякий случай можно сделать netsh ip reset, netsh winsock reset (возможно придётся заново настроить интернет).

К вопросу о том, как заставить интернет работать:
Увеличить кол-во подключений tcp/ip (о чём интернет писал в первом посте) и отключить Flood Atack Detect:

SynAttackProtect

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Description

Specifies whether the SYN flooding attack protection feature of TCP/IP is enabled. SYN flooding attack protection is enabled when the value of this entry is 1 and the value of the TcpMaxConnectResponseRetransmissions entry is at least 2 (see note below).

The SYN flooding attack protection feature of TCP detects symptoms of denial-of-service attacks (also known as SYN flooding), and it responds by reducing the time that the server spends on connection requests that it cannot acknowledge.Value Meaning

0
SYN flooding attack protection is not enabled.

1
SYN flooding attack protection is enabled.

[Oxygen]

Flood Atack Detect на роутере не отключается, и блочится роутером, до компа не доходит. Фаервол стоит и настроен - аутпост. Антивирус меня устраивает, и менять его желания никакого нет, потому как пробовала все - KIS тормозит систему, притом очень сильно, McCaffe нифига не ловит, нортон и нод туда же. По поводу второго компа - я пробовала отключить его вообще от сети - проблема всё равно сохранялась (со включенной точкой). По всей видимости придется всё же кидать кабель до второго компа, и возвращаться к старому устройству сети.... Хотя в планах покупка ноута, видимо, тогда придется менять уже роутер...
Кстати, сегодня оставила на ночь включенный комп, с закрытыми браузерами, включенными антивирусом и фаерволом. Ночью антивирус всю ночь верещал, к середине ночи мне это надоело, комп я всё же выключила. Утром после включения компа запустила полную проверку антивирусом, обнаружила следующее:
1.tmp;C:\WINDOWS\Temp;Trojan.PWS.Corp;Удален.;
2.tmp;C:\WINDOWS\Temp;Trojan.Inject.2573;Удален.;
3.tmp;C:\WINDOWS\Temp;Trojan.Proxy.2634;Удален.;
339.tmp;C:\WINDOWS\Temp;Trojan.Proxy.3011;Удален.;
AMW903A.tmp;C:\WINDOWS\Temp;Tool.AppToService;Перемещен.;
AMW9427.tmp;C:\WINDOWS\Temp;Program.FPort.20;Неизлечим.Удален.;
AMW9431.tmp;C:\WINDOWS\Temp;Program.SuperScan;Неизлечим.Удален.;
AMW9492.tmp;C:\WINDOWS\Temp;Program.PsSuspend.106;Неизлечим.Удален.;
AMWE10E.tmp;C:\WINDOWS\Temp;Program.3Proxy.origin;Неизлечим.Удален.;
AMWE207.tmp;C:\WINDOWS\Temp;Tool.PassView;Перемещен.;
AMWE20B.tmp;C:\WINDOWS\Temp;Tool.DialupPass.243;Перемещен.;
AMWE20C.tmp;C:\WINDOWS\Temp;Tool.PassView;Перемещен.;
AMWF639.tmp;C:\WINDOWS\Temp;Tool.PwlHack.410;Перемещен.;
AMWF645.tmp;C:\WINDOWS\Temp;Tool.PwlHack.410;Перемещен.;
Со 100% увереностью могу сказать, что вечером этих файлов не было, за компьютером никто не сидел, единственное что было запущено сетевого - это была аська и скайп. Вопрос, откуда они могли взяться?

[Proxy]

А. Нашёл всё. Затупил что-то.

[Williams]

Автор, если вдруг возникнет интерес убрать лимит, установленный в SP2, то здесьможно скачать патч на tcpip.sys. Это актуально для DC++ и BitTorrent.