14 ответов в этой теме

[basid]

Время от времени в логе netfilter появляется примерно такое (сложено):

[15/12/2017 19:15:32 00000a80] <DEBUG:1> Trying to connect to: x.x.x.x:80
[15/12/2017 19:15:32 00000e18] <DEBUG:1> Exception caught:
 net_exception (COverlappedSocket::Flush, 196). Error code 10053.
[15/12/2017 19:15:32 00000e18] <DEBUG:1> Disconnecting.

С кочки зрения пользователя это выглядит как подвисание при загрузке страницы в браузере.

Претензий несколько:

1. Протоколировать ошибку на отладочном уровне - несколько странно. Адекватный вариант - info или notice/warning;

2. Неизвестно, обращение к какому адресу вызвало ошибку;

3. Если ошибка "глотается" (без передачи приложению) - netfilter должен повторять запрос.

 

P.S. Есть планы выкинуть из netfilter поддержку "пре-Windows 7" и перейти к обработке трафика на уровне WFP? Без перехвата трафика на уровне приложения?

[Konstantin Yudin]

1. это дефолтный уровень
2-3. это не ошибка приложения. это наша внутренняя кухня
4. вот тут не понял. мы драйвер. но приложения нам нужны, иначе как анализировать, делать исключения и т.п.

[Alexander Chinyakov]

Лог предназначен в первую очередь для технического сбора информации, необходимой при обращении в службу поддержки.
 

Время от времени в логе netfilter появляется примерно такое (сложено):

[15/12/2017 19:15:32 00000a80] <DEBUG:1> Trying to connect to: x.x.x.x:80
[15/12/2017 19:15:32 00000e18] <DEBUG:1> Exception caught: net_exception (COverlappedSocket::Flush, 196). Error code 10053.
[15/12/2017 19:15:32 00000e18] <DEBUG:1> Disconnecting.

В приведенном фрагменте лога два разных потока: в первом идет установка соединения, а во втором поймали исключение. Они никак не связаны между собой.
 

С кочки зрения пользователя это выглядит как подвисание при загрузке страницы в браузере.
Претензий несколько:
1. Протоколировать ошибку на отладочном уровне - несколько странно. Адекватный вариант - info или notice/warning;

Сейчас у лога только два уровня: стандартный (без префикса + DEBUG:1) и подробный (добавляется DEBUG:2).
 

2. Неизвестно, обращение к какому адресу вызвало ошибку;
3. Если ошибка "глотается" (без передачи приложению) - netfilter должен повторять запрос.

"Ошибки" НетФильтр не "глотает", а передает дальше доступными средствами. Запрос может повторять только тот, кто его инициировал -- клиент -- согласно своей логике.
Более того, многие "ошибки" -- вариант нормального течения событий.
 

P.S. Есть планы выкинуть из netfilter поддержку "пре-Windows 7" и перейти к обработке трафика на уровне WFP? Без перехвата трафика на уровне приложения?

 
Поясните, что вы имеете в виду? Сейчас на Windows 7+ используется WFP.

Сообщение было изменено Alexander Chinyakov: 15 Декабрь 2017 - 15:38

[basid]

В приведенном фрагменте лога два разных потока: в первом идет установка соединения, а во втором поймали исключение. Они никак не связаны между собой.

Это понятно, что не связаны.
Непонятно - как понять, обращение к какому IP-адресу вызвало ошибку?

Поясните, что вы имеете в виду? Сейчас на Windows 7+ используется WFP.

netstat -no|find ":21"
  TCP    192.168.1.2:53146      95.173.102.59:21       ESTABLISHED     2284
tasklist /fi "pid eq 2284"|find " 2284 "
dwnetfilter.exe               2284 Services                   0    98 464 КБ

А между тем, соединение инициировано браузером.

[Alexander Chinyakov]

В приведенном фрагменте лога два разных потока: в первом идет установка соединения, а во втором поймали исключение. Они никак не связаны между собой.

Это понятно, что не связаны.
Непонятно - как понять, обращение к какому IP-адресу вызвало ошибку?

Отследить тред по логу.
 

Поясните, что вы имеете в виду? Сейчас на Windows 7+ используется WFP.

netstat -no|find ":21"
  TCP    192.168.1.2:53146      95.173.102.59:21       ESTABLISHED     2284
tasklist /fi "pid eq 2284"|find " 2284 "
dwnetfilter.exe               2284 Services                   0    98 464 КБ

А между тем, соединение инициировано браузером.

 
Да, коннект браузера штатными средствами WFP перенаправлен в НетФильтр, который уже и идет наружу.

[IlyaS]

Нетфильтр перенаправляет трафик через прокси в настройках агента?
Думаю замутить локальную проксю с прозрачной авторизацией в корпоративном прокси для приложений не умеющих ходить через прокси

[SergSG]

Нетфильтр перенаправляет трафик через прокси в настройках агента?

Нет. А было бы неплохо такую опцию запилить. Но, типа, не профиль.

[IlyaS]

В ФР или бесполезняк?

[SergSG]

В ФР или бесполезняк?

Можно попробовать и в FR.

[IlyaS]

В ФР или бесполезняк?

Можно попробовать и в FR.

done #140191

[Konstantin Yudin]

Нетфильтр перенаправляет трафик через прокси в настройках агента?
Думаю замутить локальную проксю с прозрачной авторизацией в корпоративном прокси для приложений не умеющих ходить через прокси

Не логично это привязывать к параметрам обновления антивируса. Ну и с проксями не все радостно по определению. В теории можно запилить фичу.

[IlyaS]

Нетфильтр перенаправляет трафик через прокси в настройках агента?
Думаю замутить локальную проксю с прозрачной авторизацией в корпоративном прокси для приложений не умеющих ходить через прокси

Не логично это привязывать к параметрам обновления антивируса. Ну и с проксями не все радостно по определению. В теории можно запилить фичу.

А почему нет? Если сетевой трафик заворачивать на прокси, то зачем обновлятору свои настройки прокси?
Кстати, сейчас в агенте параметр "Настройки, Основные, Сеть, Использовать прокси-сервер" непонятно к чему вообще относится. В справке тоже только кондоминимум о прокси

[SergSG]

А почему нет? Если сетевой трафик заворачивать на прокси, то зачем обновлятору свои настройки прокси?
Кстати, сейчас в агенте параметр "Настройки, Основные, Сеть, Использовать прокси-сервер" непонятно к чему вообще относится. В справке тоже только кондоминимум о прокси

Я пробовал Докторский прокси - обновление идет через него, а вот облако и остальные модули - не знаю.

 

 

 

Нетфильтр перенаправляет трафик через прокси в настройках агента?
Думаю замутить локальную проксю с прозрачной авторизацией в корпоративном прокси для приложений не умеющих ходить через прокси

Не логично это привязывать к параметрам обновления антивируса. Ну и с проксями не все радостно по определению. В теории можно запилить фичу.

Не логично. Но как опция, было бы очень неплохо, чтоб не юзать потусторонние проги с неизвестной начинкой.

[Konstantin Yudin]

регистрация лицензии тоже юзает эти параметры. поэтому и вынесли их одно время из апдейта. точно, запамятовал.

[SergSG]

регистрация лицензии тоже юзает эти параметры. поэтому и вынесли их одно время из апдейта. точно, запамятовал.

А облако и прочие?