Непрерывный входящий трафик

[dr_dizel 385]

TCPView (GUI для netstat) не регистрирует

Так наличие трафика не им мерили. Там порты смотрели. Причем с разрывом во времени.

Т.е. значит ли это, что если у меня есть (по TcpView, например) один слушающий порт и если я его прикрою, то запросы считаться не будут => трафик =0?

Нет. Вы просто запретите доступ к сервису. Трафик-то генерируется не вашим хостом. Разве что в настройках можно отключить логгирование таких пакетов.

Или другими словами: если вы выключите свой телефон, то на него по-прежнему могут пытаться звонить используя каналы связи.

P.S. Если так интересно, то можете поставить сниффер и самим всё посмотреть досконально. Что-нибудь простое или посложнее.

[p2u 824]

Так наличие трафика не им мерили. Там порты смотрели. Причем с разрывом во времени.

Если счётчик трафика Майкрософта выдаёт движение (первое сообщение в картинках видно), значит блокировать можно, даже если netstat ничего не показывает. Это я хотел сказать. По крайне мере это мой опыт.

Paul

[IT-Shark 0]

Доброго времени суток!

Schlecht , что из Novell у Вас стоит?

[dr_dizel 385]

Если счётчик трафика Майкрософта выдаёт движение...

Какой именно счётчик?

Да и повторные сетевые пакеты могут генирироваться из-за плохого соединения.

Возможно, что на сетевом уровне это не будет видно, но на канальном будут идти постоянные запросы из-за ошибок.

Включается через реестр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\Connections\StatMon\ShowLanErrors=dword:00000001

Net.ShowLanErrors.reg.zip

Net.ShowLanErrors.reg.zip

[p2u 824]

Какой именно счётчик?

Schlecht пишет:

Имеется непрерывный входящий трафик в отсутствие активных соединений

Errors - это же последствие попыток чего-то? Я про 'Packets Sent - Received', который вообще работает при отсутствии активных соединений. Или я опять что-то не так понимаю? У меня счётчик не двигается вообще когда трафика приложений нет, хотя Интернет включён. Но сказать, что ничего не происходит тоже нельзя... При этом ARP даже ещё не показывается...

P.S.: По вашему скриншоту: Если так много ошибок только в 'Sent', а ничего нет в 'Received', то тогда, говорят, это вообще указывает на то, что сетовую карту надо бы поменять.

Paul

[Schlecht 25]

Тут вот ещё какое дело (см. скриншот) - несмотря на регистрацию трафика таскменеджером и i-speeder'ом счётчик пакетов ничего не фиксирует, т.е. число полученных и отосланных пакетов не поменялось. Это может что-то уточнить?

p2u Т.е. широковещательные пакеты могут безусловно приниматься любыми портами? А заблокировать их по типу их протокола нельзя?

IT-Shark Новелл у меня называется Novell Client 4.91 SP5 for Windows.

dr_dizel А Microsoft network Monitor 3.3 в качестве сниффера не подойдёт? Кстати, насчёт сравнения с телефоном - если его отключить, то трафик будет =0 во все стороны, потому как он входящие пакеты физически не воспринимает, а если не выключать, а заблокировать какой-либо номер или включить что-то вроде стелса, то входящий трафик появится, а исходящий - нет. Я хотел бы сделать что-то вроде первого варианта - чтобы ни один порт данные определённого вида (т.е. всё что не есть пакеты, прописанные в разрешениях файервола) не принимал вообще. Это вообще возможно? Т.е. если, скажем, счётчик напрямую фиксирует принятые пакеты с карты до фильтрации их файером, я понимаю, этого сделать нельзя. Но если файер в состоянии заблокировать доступ к железу напрочь, почему нельзя сделать это избирательно - например, запретить доступ к определённым портам (ну, или закрыть их)?

[dr_dizel 385]

несмотря на регистрацию трафика таскменеджером и i-speeder'ом счётчик пакетов ничего не фиксирует, т.е. число полученных и отосланных пакетов не поменялось. Это может что-то уточнить?

Вообще все эти счётчики - вещь в себе, и что они там конкретно считают, а что нет - могут сказать только разработчики.

Касательно последней ситуации можно сказать, что:

1. счётчик может что-то не считать

2. локальный трафик (0.0.0.0, 127.X.X.X) не опускается на уровень сетевой карты и не считается

широковещательные пакеты могут безусловно приниматься любыми портами? А заблокировать их по типу их протокола нельзя?

На уровне адресов портов ещё не существует. Это вообще логические понятия. Сетевая карта принимает сетевые пакеты (физически набор электронов или фотонов), а потом передаёт на следующий уровень для дальнейшего разбора системой.

Заблокировать можно всё. У вас же фаер и блокирует дальнейший разбор этих пакетов.

Если фаер не будет блокировать пакеты, то всё равно сервисов для обслуживания запросов может не быть (отключены) и ничего страшного не будет.

Обычно в сетевой терминологии порт=сервис для обслуживания (например, http:80, ftp:21).

А Microsoft network Monitor 3.3 в качестве сниффера не подойдёт?

Возможно. Не пользовался.

Кстати, насчёт сравнения с телефоном - если его отключить, то трафик будет =0 во все стороны, потому как он входящие пакеты физически не воспринимает.

Я про проводной (домашний) телефон говорил. А если вы во время звонка к вам лизнёте провода в телефонной розетке, то сразу ощутите трафик.

Но лучше не лижите т.к. там много вольт.

[p2u 824]

сервисов для обслуживания запросов может не быть (отключены) и ничего страшного не будет.

Например: против атак через IGMP можно отключить поддержку этого протокола:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\

Ключ DWORD с названием: IGMPLevel. Значение поставить на 0.

Потом перезагрузить комп.

Пусть файр теперь орёт, что идут - толка от этих пакетов всё равно не будет...

P.S.: Этот ключ по умолчанию не существует; его надо создать.

0: Нет поддержки IP multicasting

1: Поддержка для отправки, но не для получения multicast IP datagrams

2: Полная поддержка IP multicasting

Paul

[Schlecht 25]

dr_dizel

Спасибо за разъяснения.

Чтобы продолжить с Вами выяснение деталей придётся мне, чувствую, пойти что-нить по этому поводу почитать...

Кстати, яндых говорит, что при снятой трубке напряжение в телефонной линии 6-12В, это ещё терпимо При неснятой - до 60 А вообще у меня для подобных вещей мультиметр есть.