Win7 geht beim Booten online.

[MisterX77]

Hallo Gemeinde,
ich habe folgendes Problem. Während des Bootvorgangs, noch bevor der Desktop von Win7 erscheint, geht bei der Fitzbox die DSL LED an. Mit XP sp2 war das nie der Fall.

Mit ZoneAlarm Security Suite 2010 lasst sich das zwar verhindern wenn der gesamte I-Netverkehr schon beim Booten von Win7 gesperrt wird. (rotes Schloss im Tray)

Sobald bald die Sperre aufgehoben wird geht, die Fritzbox wieder sofort auf Sendung ohne das irgendein Browser gestartet ist. Dabei zeigt WireShark allerdings nur private IPs an.

Den Dienst: "SSDP Suche" habe ich bereits deaktiviert.

Sobald die svchost.exe durch die Firewall freigegeben wird, veranlasst Win7 scheinbar die Fritzbox die DSL Leitung zu öffnen.

Weis jemand Rat, wie sich das bei Win7 Ultimate verhindern lässt?

Bisher war die DSL-Led immer ein sicheres Zeichen, dass kein Programm versucht ungefragt in Netz zu gehen.

 

[Telefonmännchen]

Naja, ob eine LED das leisten kann, was Du Dir davon versprichst. Als sicheres Zeichen würde ich das nicht gerade bezeichnen. Letztendlich ist es aber nun mal so, daß bei diesem Betriebssystem diverse Dienste gestartet werden. Sei es nur um nach Updates zu suchen, Dich bei den Live-Diensten zu registrieren oder ähnliches. Die svchost ist nun mal eine Datei, die von diversen Diensten angesprochen wird und mehrfach auf Deinem Rechner gleichzeitig läuft. Verhindern wirst Du es kaum können.

Gruß Telefonmännchen

 

[MisterX77]

Du hast in soweit recht, dass mir beim Surfen dann die LED nicht mehr weiterhilft. Aber ich komme ja noch nicht mal ins LAN ohne dass die Fritzbox die DSL-Verbindung öffnet. Das gefällt mir garnicht und Surfen kann ich auch über einen anderen PC der keine wichtigen Daten hat solange das Problem nicht gelöst ist

Mit Xp-AntiSpy habe ich soweit möglich bereits alles gesperrt.

Ich denke hier im Bord sind wirklich die Spezialisten, die auch Win7 die Geschwätzigkeit abgewöhnen können. Bei XP ging es doch auch.

 

[Ecki-No1]

Ich deaktiviere immer die Netzwerkkarte, dann kann Windows 7 nicht ungefragt rummachen.

 

[doc456]

Hallo,

a) was die svchost.exe macht kannst du hier Lesen,
b) könnten Haustieren sein: klickme
c) Windows-Aktivierung
d) Windows-Update-Überprüfung

Also schau erst mal, was sich da hinter verbirgt.
Mach eine Konsole auf und gib

tasklist /svc

ein.

 

[RalfFriedl]

Dabei zeigt WireShark allerdings nur private IPs an.

Wenn Du schon WireShark verwendest, welche Ports werden denn bei diesen lokalen IPs verwendet? Ist vielleicht Port 53 dabei?

 

[MisterX77]

Ich hatte auch mal Netlimiter3b7 testweise zusätzlich zu ZoneAlarm drauf.

Hier war eindeutig zu erkenne das die svchost.exe den DestinationPort 53 und einen 5 stelligen localenPort öffnen möchte. Sobald das zugelassen wurde ging die besagte LED an. Dieser 5stellige Port änderte sich nach jedem Neustart von Win7.

Bei den unfangreichen Details aus dem Protokoll von WireShark habe ich zurzeit noch so meine Probleme daraus Schlüsse zu ziehen.

Es kommt als erstes immer eine ARP Broadcastabfrage -Who has (Ip-Fritzbox) Tell (Ip-PC)- und danach geht die Box aufs Netz. Dann kommen ca.3 andere Positionen, aber meiner Meinung nach ist die Box dann schon auf Sendung.

 

[RalfFriedl]

Die Box baut nicht wegen dem ARP-Request eine Verbindung zum Internet auf. Was ist denn der Inhalt des Pakets, das an Port 53 gesendet wird?

 

[mobafan]

Musst Du die perfekte Firewall nutzen, einzusetzen zwischen Splitter und Modem (also Fritzbox). http://tinyurl.com/9gvu2

 

[doc456]

Warum sollte ein ARP-Request auf dem DNS-Port erfolgen, um eine MAC-Adresse einer IP zuzuordnen?

Es sei denn, der PC fungiert als Proxy und würde Spoofing betreiben, ergo wäre mein Punkt b) der Aufzählung sehr treffend.

 

[MisterX77]

Ich habe mal die ersten 10 Kopfzeilen aus Wireshark kopiert (ARP Abfragen habe ich wegelassen.)

3 0.000535 192.168.178.28 192.168.178.1 DNS Standard query PTR 252.0.0.224.in-addr.arpa

5 2.719060 192.168.178.28 192.168.178.1 DNS Standard query A zonelabs.com

6 2.719922 192.168.178.1 192.168.178.28 DNS Standard query response A 209.87.209.44

9 9.998667 192.168.178.28 192.168.178.1 DNS Standard query PTR 255.255.255.255.in-addr.arpa

10 12.630979 192.168.178.28 192.168.178.1 DNS Standard query A sp.cwfservice.net

Die IP 209.87.209.44 ist von ZoneAlarm (ZoneLabs.com) die habe ich in der Firewall gesperrt. Die Eintrage erscheinen in rot bei Wireshark

Die Microsoft Ip Range von 65.52.0.0 bis 65.55.255.255 habe ich mal versuchshalber komplett gesperrt. Ohne Ergebnis

 

[doc456]

Zonelabs sucht nach Update und "sp.cwfservice.net" wird auch von Zonelabs genutzt, aber guckst du hier...

 

[wichard]

Stammen diese Wireshark-Zeilen aus dem Mitschnitt auf Ebene der Fritz!Box, oder schneidet das der PC / ein anderes Netzwerkgerät mit? Ich würde ja vermuten, dass die DNS-Anfrage auf die beiden Adressen (auch) an den DNS-Server des Providers gestellt werden - das erzwingt den Verbindungsaufbau.


Gruß,
Wichard

 

[MisterX77]

Den Bericht hatte ich auch schon gelesen. Das sp.cwfservice.net wird meiner Meinung nach nur benutzt wenn die Kindersicherung aktiviert ist. Die entsprechenden IPs tauchten auch anfangs im WiresharkProtokoll auf. Nachdem die Kindersicherung deaktiviert wurde erschienen sie nicht mehr.

Was heißt denn DNS Standard query A sp.cwfservice.net oder DNS Standard query A zonelabs.com? Es erscheinen doch unter Source und Destination nur meie lokalen IPs, also findet doch kein Datenverkehr nach außen statt. Warum öffnet dann die Fritzbox.

@wichard
Ich sehe gerade, dass Dein Argument wohl genau die Antwort auf meinen Einwand gibt. Was kann mann dennn dagegen tun?

Der PC protokolliert über WiresShark mit

 

[wichard]

Den Programmen das automatische Update abgewöhnen (wie auch immer, ich kenne diese im Speziellen nicht)...


Gruß,
Wichard

 

[doc456]

@wichard, dem ist nichts hinzuzufügen... :mrgreen:

 

[RalfFriedl]

Ich würde ja vermuten, dass die DNS-Anfrage auf die beiden Adressen (auch) an den DNS-Server des Providers gestellt werden - das erzwingt den Verbindungsaufbau.

Was meinst Du, warum ich speziell nach Port 53 gefragt habe?

Was heißt denn DNS Standard query A sp.cwfservice.net oder DNS Standard query A zonelabs.com? Es erscheinen doch unter Source und Destination nur meie lokalen IPs, also findet doch kein Datenverkehr nach außen statt.
...
Was kann mann dennn dagegen tun?

Das bedeutet, daß der PC die IP-Adresse (A) von zonelabs.com wissen will. Diese Anfrage geht an die Box. Und woher soll sie die Antwort wissen? Vom externen DNS-Server. Also baut sie die Internet-Verbindung auf.

Das einzige, was Du dagegen tun kannst, ist, diese Anfrage vom PC zu vermeiden. Wenn überhaupt. müßte es in dem entsprechenden Programm eine Einstellung geben, um das zu verhindern. Ansonsten kannst Du Dir überlegen, was Dir wichtiger ist: Das Programm, oder daß die Box nicht automatisch online geht.

 

[MisterX77]

Hallo RalfFriedl,
danke für die selbst für einen Einsteiger nachvollziehbare Erklärung.

In ZoneAlarm ist soweit alles deaktiviert, was nach Haus telefonieren kann und wird teilweise umgeleitet ins Nirwana.

Was macht denn der Port 53? Ist der nur für diese DNS Anfragen nach außen zuständig.

Ich hab ihn mal in der Firewall gesperrt Die Box macht aber trotzdem auf. LAN und I-net-Verbindungen funzen trotzdem. Was würde passieren, wenn ich den in der Box sperre wenn das möglich ist.

Ich meine mit XP gab es diese Probleme doch nicht.

 

[RalfFriedl]

Port 53 ist generell für DNS-Anfragen. Ob für die Antwort ein Zugriff nach draußen notwendig ist oder nicht, hängt von der konkreten Anfrage ab.

Wenn das Internet noch funktioniert, dann ist Port 53 vermutlich nicht gesperrt, Konfigurationen mit Proxy mal ausgenommen.

Schau doch mal, was jetzt noch an Paketen gesendet wird.

 

[MisterX77]

Ich hab mal aus der Kopfzeile -Standard query A zonelabs.com- die Afrage nach Port 53 rauskopiert. Diese Zeile war von Wireshark rot markiert. Wahrscheinlich wegen (Error/Checksum)

Internet Protocol, Src: 192.168.178.28 (192.168.178.28), Dst: 192.168.178.1 (192.168.178.1)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 58
Identification: 0x0037 (55)
Flags: 0x00
0.. = Reserved bit: Not set
.0. = Don't fragment: Not set
..0 = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x0000 [incorrect, should be 0x550d]
[Good: False]
[Bad: True]
[Expert Info (Error/Checksum): Bad checksum]
[Message: Bad checksum]
[Severity level: Error]
[Group: Checksum]
Source: 192.168.178.28 (192.168.178.28)
Destination: 192.168.178.1 (192.168.178.1)
User Datagram Protocol, Src Port: 61899 (61899), Dst Port: domain (53)
Source port: 61899 (61899)
Destination port: domain (53)
Length: 38
Checksum: 0xe5a6 [validation disabled]
Domain Name System (query)
[Response In: 4]
Transaction ID: 0x8856
Flags: 0x0100 (Standard query)
0... .... .... .... = Response: Message is a query
.000 0... .... .... = Opcode: Standard query (0)
.... ..0. .... .... = Truncated: Message is not truncated
.... ...1 .... .... = Recursion desired: Do query recursively
.... .... .0.. .... = Z: reserved (0)
.... .... ...0 .... = Non-authenticated data OK: Non-authenticated data is unacceptable
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 0
Queries
zonelabs.com: type A, class IN
Name: zonelabs.com
Type: A (Host address)
Class: IN (0x0001)

Ich hoffe Du kannst damit was anfangen