Непонятные TCP коннекты ..

Сегодня чувствовал, что интернет вообше тормозит
(он у меня и так тормознутый, 64кбит/с)
работал тогда с IE8, а потом пробоал mozilla - тоже самое. странички короче откываются очень долго. открыл Tcpview и остался не довольным, че-то слишком много подключений, хотя в этот момент у меня подключен м-агент, аська и ради эксперимента одноклассники (или mail.ru).
вот лог:

Code:

[System Process]:0	TCP	127.0.0.1:2990	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:2994	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:2996	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:2998	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:2988	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3048	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3049	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3058	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3060	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3064	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3068	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3056	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3062	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3048	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3072	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3042	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3083	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3052	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3095	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3119	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3115	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3113	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3113	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3093	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3127	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3123	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3129	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3108	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:2621	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:2623	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3125	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3131	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3135	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:30606	127.0.0.1:3121	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3137	127.0.0.1:30606	TIME_WAIT	
[System Process]:0	TCP	127.0.0.1:3088	127.0.0.1:30606	TIME_WAIT	
alg.exe:3852	TCP	127.0.0.1:1040	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3964	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3099	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3081	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3078	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3077	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3107	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:1299	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3090	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3965	64.12.26.166:5190	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:1300	94.100.181.63:2041	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	192.168.1.60:3047	212.119.208.26:80	FIN_WAIT1	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	192.168.1.60:3092	81.177.156.86:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3086	81.177.30.112:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3091	81.176.227.88:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3079	81.176.227.80:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3080	81.177.156.16:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3082	81.177.140.148:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3110	81.177.140.147:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3112	81.177.140.47:80	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3111	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3105	81.177.140.29:80	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3097	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3098	81.177.140.155:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3106	81.177.156.249:80	ESTABLISHED	
ekrn.exe:1216	TCP	192.168.1.60:3100	81.177.140.155:80	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	127.0.0.1:3046	CLOSE_WAIT	
ekrn.exe:1216	TCP	192.168.1.60:3102	81.177.140.155:80	ESTABLISHED	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
ekrn.exe:1216	TCP	127.0.0.1:30606	0.0.0.0:0	LISTENING	
explorer.exe:1336	UDP	127.0.0.1:1025	*:*		
firefox.exe:5688	TCP	127.0.0.1:3085	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3087	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3090	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3077	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3078	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3081	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3101	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3103	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3104	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3107	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3111	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3097	127.0.0.1:30606	ESTABLISHED	
firefox.exe:5688	TCP	127.0.0.1:3099	127.0.0.1:30606	ESTABLISHED	
lsass.exe:1820	UDP	0.0.0.0:500	*:*		
lsass.exe:1820	UDP	0.0.0.0:4500	*:*		
magent.exe:1028	TCP	127.0.0.1:1299	127.0.0.1:30606	ESTABLISHED	
qip.exe:200	TCP	127.0.0.1:3964	127.0.0.1:30606	ESTABLISHED	
svchost.exe:1136	UDP	192.168.1.60:1900	*:*		
svchost.exe:1136	UDP	127.0.0.1:1900	*:*		
svchost.exe:1136	UDP	192.168.0.10:1900	*:*		
svchost.exe:280	UDP	192.168.1.60:123	*:*		
svchost.exe:280	UDP	127.0.0.1:123	*:*		
svchost.exe:280	UDP	192.168.0.10:123	*:*		
svchost.exe:900	UDP	0.0.0.0:1071	*:*		
svchost.exe:900	UDP	0.0.0.0:4281	*:*		
svchost.exe:900	UDP	0.0.0.0:1863	*:*		
svchost.exe:900	UDP	0.0.0.0:1026	*:*		
svchost.exe:900	UDP	0.0.0.0:4279	*:*		
svchost.exe:900	UDP	0.0.0.0:3074	*:*		
svchost.exe:900	UDP	0.0.0.0:3075	*:*		
svchost.exe:900	UDP	0.0.0.0:3076	*:*		
System:4	TCP	192.168.1.60:139	0.0.0.0:0	LISTENING	
System:4	TCP	192.168.0.10:139	0.0.0.0:0	LISTENING	
System:4	UDP	192.168.1.60:137	*:*		
System:4	UDP	192.168.0.10:137	*:*		
System:4	UDP	192.168.1.60:138	*:*		
System:4	UDP	192.168.0.10:138	*:*

сканировал полностью комп - вирусов нету. у меня всегда стоял NOD32 и никогда проблем не был с ним.
Есть какие то подозрение?

P.S. ОС - WIND XP SP3

 

Все соединения фильтрует нод. В аутпосте даже есть предустановка на эти порты.
Выруби "Защита доступа в интернет".

 

я аутпост не испльзую. ибо хватает встроенный фаер NOD32. (версия ESS 4.0)
А отключить Защита доступа в интернет че то не думаю, что хорошее решение.
ведь несколько дней назад все в порядке было.

 

А что здесь аномального или вы уже на глаз научились определять?

 

что определять? ну когда много подключение и тормоит интернет - это еще можно подумать?
по вашему - в этом логе все в порядке ?

 

Соединений не много,но за счет удваивания через nod кажется что много.Что за соединения ,что нам телепатировать что происходит (если происходит обмен информацией конечно можно и одним соединением канал загрузить)? Не каких результатов от чего оттолкнуться ,как можно сказать "тормозит" интернет?
Где pathping,nslookup и относительно чего сравнить(нормальное состояние тоже не показали)?

 

вечером выложу pathping,nslookup а насчет нормального состояния ничего сказать не смогу, т.к. не думал что такое будет, чтоб снять логи.

P.S.
А вообше что за

???
зачем из там много и все "ждут" ?

 

Открой CMD и включи Netstat.

Там ещё можно разобраться, а тисипивью иногда фигню городит.

 

Про TimeWait прочитать подробней здесь ( http://technet.microsoft.com/ru-ru/library/cc759700.aspx) ,что именно происходит.

 

хорошо, вечером посмотрю и напишу

SpangeBoB

кстати это вообше меня ввел в заблуждения.. у емня локальная SYN - ACK атака чтоли ?

 

Где то в таблице разве есть в столбце State состояние SYN RECEIVED,нет так с чего вообще решили что это локальная SYN атака.


PS вот поэтому дамперы сразу видны,т.к обязательным требованием на экзамене 70-291 является понимание основ TCP/IP.Да еще и подробно рассмотрены Мониторинг и Диагностика неисправностей TCP/IP.

 

все по очереди:
netstat

Code:

 Proto  Local Address          Foreign Address        State
 TCP    home-xp:1113           localhost:30606        ESTABLISHED
 TCP    home-xp:1116           localhost:30606        TIME_WAIT
 TCP    home-xp:1120           localhost:30606        TIME_WAIT
 TCP    home-xp:1122           localhost:30606        ESTABLISHED
 TCP    home-xp:1124           localhost:30606        ESTABLISHED
 TCP    home-xp:1127           localhost:30606        ESTABLISHED
 TCP    home-xp:1131           localhost:30606        ESTABLISHED
 TCP    home-xp:1139           localhost:30606        ESTABLISHED
 TCP    home-xp:1141           localhost:30606        ESTABLISHED
 TCP    home-xp:1145           localhost:30606        ESTABLISHED
 TCP    home-xp:1149           localhost:30606        TIME_WAIT
 TCP    home-xp:1153           localhost:1155         TIME_WAIT
 TCP    home-xp:1154           localhost:30606        TIME_WAIT
 TCP    home-xp:1156           localhost:30606        TIME_WAIT
 TCP    home-xp:1158           localhost:30606        ESTABLISHED
 TCP    home-xp:1161           localhost:30606        TIME_WAIT
 TCP    home-xp:1162           localhost:1160         TIME_WAIT
 TCP    home-xp:1165           localhost:30606        ESTABLISHED
 TCP    home-xp:1169           localhost:30606        TIME_WAIT
 TCP    home-xp:30606          localhost:1111         TIME_WAIT
 TCP    home-xp:30606          localhost:1113         ESTABLISHED
 TCP    home-xp:30606          localhost:1118         TIME_WAIT
 TCP    home-xp:30606          localhost:1122         ESTABLISHED
 TCP    home-xp:30606          localhost:1124         ESTABLISHED
 TCP    home-xp:30606          localhost:1127         ESTABLISHED
 TCP    home-xp:30606          localhost:1129         TIME_WAIT
 TCP    home-xp:30606          localhost:1131         ESTABLISHED
 TCP    home-xp:30606          localhost:1133         TIME_WAIT
 TCP    home-xp:30606          localhost:1137         TIME_WAIT
 TCP    home-xp:30606          localhost:1139         ESTABLISHED
 TCP    home-xp:30606          localhost:1141         ESTABLISHED
 TCP    home-xp:30606          localhost:1145         ESTABLISHED
 TCP    home-xp:30606          localhost:1147         TIME_WAIT
 TCP    home-xp:30606          localhost:1151         TIME_WAIT
 TCP    home-xp:30606          localhost:1158         ESTABLISHED
 TCP    home-xp:30606          localhost:1163         TIME_WAIT
 TCP    home-xp:30606          localhost:1165         ESTABLISHED
 TCP    home-xp:30606          localhost:1167         TIME_WAIT
 TCP    home-xp:30606          localhost:1171         TIME_WAIT
 TCP    home-xp:30606          localhost:1173         TIME_WAIT
 TCP    home-xp:1114           mrim20.mail.ru:2041    ESTABLISHED
 TCP    home-xp:1117           bucp2-vip-m.blue.aol.com:5190  TIME_WAIT
 TCP    home-xp:1121           bucp2-vip-m.blue.aol.com:5190  TIME_WAIT
 TCP    home-xp:1123           64.12.26.164:5190      ESTABLISHED
 TCP    home-xp:1125           64.12.30.80:5190       ESTABLISHED
 TCP    home-xp:1128           unknown-413.agava.net:http  ESTABLISHED
 TCP    home-xp:1132           unknown-413.agava.net:http  ESTABLISHED
 TCP    home-xp:1140           unknown-413.agava.net:http  ESTABLISHED
 TCP    home-xp:1142           unknown-413.agava.net:http  ESTABLISHED
 TCP    home-xp:1146           unknown-413.agava.net:http  ESTABLISHED
 TCP    home-xp:1157           dyna-down1.nslb.sj.mozilla.com:http  TIME_WAIT
 TCP    home-xp:1159           mirrors.evolva.ro:http  ESTABLISHED
 TCP    home-xp:1166           mu-in-f100.google.com:http  ESTABLISHED
 TCP    home-xp:1170           nol-vip03.cwwtf.bbc.co.uk:http  TIME_WAIT

NSLOOKUP

Code:

C:\>nslookup
*** Can't find server name for address 192.168.1.1: Server failed
*** Default servers are not available
Default Server:  UnKnown
Address:  192.168.1.1
[I]## адрес 192.168.1.1 - это мой шлюз (DSL Модем)[/I]
>

PATHPING

Code:

C:\>pathping www.mail.ru

Tracing route to www.mail.ru [194.67.57.26]
over a maximum of 30 hops:
  0  home-xp [192.168.1.60]
  1  192.168.1.1
  2  host-88-215-134-252.stv.ru [88.215.134.252]
  3  7301-ge00.stv.ru [212.96.103.66]
  4  7301-ge00.stv.ru [212.96.103.66]
  5  SVL11-F00.104.transtelecom.net [217.150.37.210]
  6     *     TTK-lgw.Moscow.gldn.net [194.186.0.193]
  7  cat01.Moscow.gldn.net [194.186.157.134]
  8  mailru-KK12-1-gw.Moscow.gldn.net [195.239.8.10]
  9  mail.ru [194.67.57.26]

Computing statistics for 225 seconds...
            Source to Here   This Node/Link
Hop  RTT    Lost/Sent = Pct  Lost/Sent = Pct  Address
  0                                           home-xp [192.168.1.60]
                                0/ 100 =  0%   |
  1    1ms     0/ 100 =  0%     0/ 100 =  0%  192.168.1.1
                                0/ 100 =  0%   |
  2   29ms     0/ 100 =  0%     0/ 100 =  0%  host-88-215-134-252.stv.ru [88.215
.134.252]
                                1/ 100 =  1%   |
  3   29ms     5/ 100 =  5%     4/ 100 =  4%  7301-ge00.stv.ru [212.96.103.66]
                                0/ 100 =  0%   |
  4   28ms     1/ 100 =  1%     0/ 100 =  0%  7301-ge00.stv.ru [212.96.103.66]
                                1/ 100 =  1%   |
  5   35ms     5/ 100 =  5%     3/ 100 =  3%  SVL11-F00.104.transtelecom.net [21
7.150.37.210]
                                0/ 100 =  0%   |
  6   54ms     2/ 100 =  2%     0/ 100 =  0%  TTK-lgw.Moscow.gldn.net [194.186.0
.193]
                                1/ 100 =  1%   |
  7   67ms     8/ 100 =  8%     5/ 100 =  5%  cat01.Moscow.gldn.net [194.186.157
.134]
                                0/ 100 =  0%   |
  8   55ms     3/ 100 =  3%     0/ 100 =  0%  mailru-KK12-1-gw.Moscow.gldn.net [
195.239.8.10]
                                5/ 100 =  5%   |
  9   52ms     8/ 100 =  8%     0/ 100 =  0%  mail.ru [194.67.57.26]

Trace complete.

C:\>

та какие дампы? и причем тут вообше 70-291? если все так просто был бы - почитал книгу и все знаешь, то нахрен вообше столько форумы и всякие ресурсы?
там в книге описан в основном локальные проблемы, DNS, DHCP.. заголовки tcp/ip и поверхностно описание TCP/IP протокола. если я читал только книгу посвяшен 70-291, то я даже не набрал бы 200 баллов, т.к. там мало что написано - еще и правильно.
так что ненадо тут писать то, о чем незнайте.

 

70-291 это экзамен по сетевой инфраструктуре.Причем тут книга,когда Microsoft требует знания по TCP/IP, должен обладать сдающий и уж точно знать как происходит соединение.Я прекрасно знаю,что написано в книге и лабораторные есть по Network Monitor,где отображены этапы соединения.
А у MCSA такая база является обязательной.

В книге указано где искать более углубленную информацию.Так что опять вы перевернули факты.

 

home-xp > localhost соединения трафик не жрут. Это соединения на твоём компе.
Скорее всего браузер > темп и тому подобное.
Ибо, когда у тебя страница уже кешированная, то соединения идут на твоём компе к этому кэшу.

Так же это может быть НОД, он ведь трафик через себя пускает.

Можешь установить одну софтину, Proxifier например.
Там видно, что куда коннектится.
> скачать < (cthbqybr прилагается)))))

 

SpangeBoB

И что хотите сказать ? мои знание совпадают с MCSA. я сам готовился и сдал. вот именно 70-291 - со второго раза )) ну суть в том, что здал. и дампы тут не причем.

Leo_ня
насчет НОД_а че то не верится, что он виноват, т.к. довно с ним работаю и когда такого не видел.
Proxifier у меня довно уже стоит он только инетрнет сдоединение показывает.
да мне кажется, что засоряется внутренный трафик.. т.е. интерфейс 127.0.0.1.

 

http://tinyurl.com/dmdrtm ^_^

 

во, пля, приехали !
мой почтовый ящик взломан!!!! надо к интуиции доверять, когда что то не то. все таки у меня компьютер был перехвачен или стоит кейлоггер
и никакой 70-291 экзамен тут не причем ! да и сам MCSA тоже.

 

мде.. а поюзать CAD (Ctrl+Alt+Del ) и regedit на наличие автозагрузки?

хотя, до этого редко догадываются)) у меня на мыле 13к писем от шпиона )))

и я так и не пойму, почему так никто и не сменит пароль на мыле отправителя? это ж легче простого)))

 

Leo_ня
спасибо, не тупой.