14 ответов в этой теме

[tMH]

Уважаемые, день добрый !

 

Пользую уже более 7 лет Dr.Web Security Space, постоянно обновляюсь, и всё было вроде ОК, но вот после очередного обновления - неделю назад - начал замечать странное. С периодичностью от пары десятков минут до пары часов, происходит рассоединение с IRC серверами по протоколу ipv6.

 

Начав копать уточнил - на соседних машинках, где стоит debian, IRC сессии висят неделями - например -

L:line TDT (tmh@2002:*:*:*:42 (23d16h6m14s) - и это всё на одной сети. Сие означает, что происходит дисконнект клиентов/IRC ботов именно на Windows 7, да и сама сеть тут не при чём.

 

Дополнительно поставил пинг, выяснил, что если и случались _единичные_ потери пакетов до IPv6 шлюза, то они никак не совпадали с отключением IRC сессий, вообще. Я приведу логи со временем _ближе всего_ совпадающим одних потерь к дисконнектам других. Итого, лог отключения IRC бота от сети

[2017-03-07 00:10] Disconnected from 2a00:1a28:1100:13::a
[2017-03-07 02:17] Disconnected from 2001:67c:2564:a191::fff:1
[2017-03-07 16:42] Disconnected from 2a00:1a28:1100:13::a
[2017-03-07 18:18] Disconnected from 2001:67c:2564:a191::fff:1
[2017-03-07 18:51] Disconnected from 2a00:1a28:1100:13::a
[2017-03-07 19:23] Disconnected from 2001:67c:2564:a191::fff:1
[2017-03-07 19:55] Disconnected from 2001:67c:2564:a191::fff:1

 

А вот лог потерянных пакетов в пингах:

2017/03/07 00:47:14.233 : 2002:c058:6301::1: request timed out
2017/03/07 02:33:21.733 : 2002:c058:6301::1: request timed out
2017/03/07 16:21:59.733 : 2002:c058:6301::1: request timed out
2017/03/07 19:18:37.233 : 2002:c058:6301::1: request timed out

В настройках FW Dr.Web'а ничего не менялось, правила стоят "все разрешено" для eth0, eth1, 6to4, аксессы для Chatzilla/бота "все разрешено". С другой стороны в FAQ Chatzilla прямо пишут:

Connection to irc://irc.example.com/ (irc.example.com:6667) closed.

• Check ZoneAlarm Internet Security settings. If you have ZoneAlarm Internet Security installed, make sure the "Block IRC" option in "IMSecurity" > "Settings" > "Advanced" is not selected.
• Check anti-virus and firewall settings. Your anti-virus or firewall could be responsible for this error. Check to make sure they are not blocking "IRC" or "TCP port 6667 outgoing".

 

ВОПРОС: Что такого произошло в обновлении Dr.Web SecSpace, что вот такая фигня началась и продолжается до сих пор ? Подскажите, пожалуйста, решение данного вопроса.

 

Благодарю заранее за ответ,

-t

[Konstantin Yudin]

нужен отчет с дебаг логами нетфильтра. если стоит наш файервол то и с pcap логами его.

[tMH]

нужен отчет с дебаг логами нетфильтра. если стоит наш файервол то и с pcap логами его.

Отписал в ЛС, посмотрите, пожалуйста. Прошу строго не судить, я не сетевой админ

[tMH]

Провёл эксперимент - отключил firewall, но - сессии что бота, что chatzilla - в течении часа всё равно дропнулись.

 

Помнится, когда я задавался вопросом на тему отключения фильтрации Spider Gate, мне было отвечено, что ПОЛНОСТЬЮ SpGate можно отключить только удалив его как компонент, что бы он вообще не грузился. В этом случае хотелось бы знать - означает ли выключение firewall в менюшке так же его НЕ ПОЛНОЕ отключение, то есть, fw продолжает действовать на каком-то минимальном уровне ?

[RomaNNN]

tMH, Скорее всего. Это ж драйвер загружен.

[VVS]

Провёл эксперимент - отключил firewall, но - сессии что бота, что chatzilla - в течении часа всё равно дропнулись.
 

Эксперимент без логов - байты на ветер. ~© народное

[tMH]

 

Провёл эксперимент - отключил firewall, но - сессии что бота, что chatzilla - в течении часа всё равно дропнулись.
 

Эксперимент без логов - байты на ветер. ~© народное

 

Так я Константину же скинул логи wireshark'а, жду его ответа...

[tMH]

Нда. Деинсталлировал spider gate, firewall, parental control, spider mail - падения сессий всё равно продолжилось, так что забираю свои вопрос - Dr.Web тут, похоже, не при чём. Извините за беспокойство по - как выяснилось - напрасну.

[Nenya Amo]

tMH, SpIDer Guar тоже деинсталлировали ?

[tMH]

tMH, SpIDer Guar тоже деинсталлировали ?

Да, я же написал - "Деинсталлировал spider gate". То есть, от авира остался только основной модуль - сам антивирус, без плюшек.

 

Енивай, хотелось бы обратиться к Юдину Константину на тему изучить всё таки предоставленные логи, высказать твердное мнение, или предположение: ЧТО это может быть ?

[MakRos-78]

SpiDer Guard и SpiDer Gate это разные модули. Вас именно про Guard спросили.

[tMH]

SpiDer Guard и SpiDer Gate это разные модули. Вас именно про Guard спросили.

Gate, конечно, gate. Guard это основной модуль, так что он остался. Фильтров FW в "process monitor" Марка Руссиновичка не наблюдал.

 

Мне просто интересно кто или что рвёт соединение: DrWeb (вроде выяснил что нет), свитч провайдера на чердаке - настройки у него дурные, или MSK-IX товарищи.. Именно по этой причине запросил Константина рассмотреть логи присланные ему в ЛС.

Сообщение было изменено tMH: 13 Март 2017 - 15:15

[Nenya Amo]

tMH, Вы всё же попробуйте удалить сам комопнент Guard, он в панели управления, пкм на продукте Dr.Web и Изменить, далее Изменит комопненты, и там можно снять флаг на Guard'е, ну или вообще удалить Dr.Web и смотреть результат.

[Dmitry_rus]

Guard, вроде бы, в перехватах трафика замечен не был... Так что вряд ли он тут при делах. Хотя всё может быть...

[SergSG]

Чтобы вы не удаляли, драйвера все одно остаются. Если нужно однозначно убедиться, что Доктор не виноват, лучше его временно удалить.