Win7 geht beim Booten online.

[RalfFriedl]

Das Ganze da oben enthält auch nicht mehr nützliche Informationen als die Zeile in dem älteren Beitrag: "192.168.178.28 192.168.178.1 DNS Standard query A zonelabs.com".

Und die Antwort ist auch die gleiche: Der Rechner fragt nach "zonelabs.com", die Box geht online und fragt den externen DNS-Server. Die Box bekommt die Antwort und reicht sie an den PC weiter.

Wenn Du also schon die DNS-Anfragen siehst, mußt Du Dich nicht wundern daß die Box online geht, sobald sie irgendeine DNS-Anfrage nach einen externen Namen bekommt.

 

[MisterX77]

Die Box selber blockt ja nur Anfragen von außen. Diese kommt jedoch von innen scheinbar von ZoneLabs. Warum ZoneAlarm den geblockten Port 53 zulässt muss ich noch klären. Kommt Win7 denn überhaut klar, wenn beim Surfen für die svchost.exe der Port 53 dicht ist?

Ich habe bei älteren PCs mit XP die Kaspersky Firewall in der Version 7 und war damit sehr zufrieden. Leider geht bei 64 Bit nur noch die 2010ner Version. Die ist total umgekrempelt worden und macht was sie will, so ähnlich wie die von Symantec.

Ansonsten kann man ZoneAlarm Security Suite sehr gut steuern. Vor allem verhindert sie das Win7 beim Bootvorgang bereits online geht. In diesem Zustand kann man ja überhaut nicht mehr kontrollieren, was über die Netzwerkkarte läuft. Ohne Firewall ging bei der Fritzbox sogar während der PC runterfährt die DSL-LED an. Das war völlig inakzeptabel.

 

[sf3978]

Die Box selber blockt ja nur Anfragen von außen. [...]

Mit der entsprechenden Konfiguration, kann die Box auch Anfragen von innen, blocken.

 

[MisterX77]

Davon habe ich hier im Bord auch schon gelesen. Die Frage ist nur, wird der Port 53 fürs Surfen gebraucht.

Mittlerweile hab ich die zonelabs.com und die sp.cwfservice.net mal testweise in die Hostdatei von Windows umgeleitet. Daraufhin erscheinen diese DNS Abfragen nicht mehr im Protokoll. Leider macht die Box immer noch auf, weil jetzt die folgenden auftauchen:

3 0.000539 192.168.178.28 192.168.178.1 DNS Standard query PTR 255.255.255.255.in-addr.arpa

7 9.999017 192.168.178.28 192.168.178.1 DNS Standard query PTR 252.0.0.224.in-addr.arpa

8 19.998710 192.168.178.28 192.168.178.1 DNS Standard query PTR 1.178.168.192.in-addr.arpa

Woher kommen die denn jetzt? Man könnte ja noch verstehen, dass diese Abfragen kommen wenn man einen Browser aufmacht, aber solange man im LAN ist stört mich das sehr..

Möglicherweise muss man doch mal versuchen den Port über die Fritzbox zu schließen, wenn das sinn macht.

 

[sf3978]

[...] Die Frage ist nur, wird der Port 53 fürs Surfen gebraucht.
[...]

Nur wenn Du externe DNS-Server auf den PC's benutzt.

 

[gandalf94305]

Alle Adressen x.x.x.y.in-addr.arpa. mit y von 224 bis incl. 239 (x = 0..255) sind Multicast-Adressen. Das verwendet Windows, um bestimmte Ereignisse im Netzwerk mitzubekommen. Netbios nutzt das, um festzustellen, wer alles im Netzwerk zu finden ist. Die FBF läßt diese normalerweise nicht durch, es sei denn, sie werden explizit geroutet.

255.255.255.255 ist ein Broadcast, der ebenso nicht nach draußen geht.

Wenn Du DHCP aktiviert hast, damit der PC initial seine IP-Adresse bekommt, dann ist auch noch DHCP-Verkehr festzustellen.

DNS-Verkehr ist ebenso normal, da manche Programme sich erst mal über Updates, Lizenzen etc. informieren, wenn sie starten.

Generell ist Port 53 nicht schädlich, jedoch kann man beliebige Protokolle darüber nutzen. Aus diesem Grund ist es gut, wenn nur der NAT-Router selbst DNS-Lookups macht und die LAN-Clients diesen fragen. Die meisten NAT-Router implementieren jedoch leider nur UDP-DNS-Lookups, d.h. für sehr lange Ergebnisse ist so ggf. der Fallback auf TCP nicht mehr möglich - der Host wird als nicht gefunden angegeben. Das passiert regelmäßig mit sehr langen Hostnamen z.B. von ebay. Also sollte man schon DNS-Lookups von den Clients nach draußen erlauben.

Langer Rede kurzer Sinn: der einzige "internetwürdige" Verkehr dürfte initial wohl aus DNS-Lookups und Update/Lizenz-Checks bestehen. Hast Du beim Booten keinen Messenger an, der sich erst überall registriert und Presence-Information austauschen will, kann das von Zonealarm gerne komplett blockiert werden, wobei jedoch Zonealarm selbst ja auch nicht ganz still ist ;-)

--gandalf.

 

[MisterX77]

Hallo gandalf94305,
sei mir nicht böse, aber ich hab es nur teilweise verstanden. Nach meinem Protokoll wird der Port 53 bereits bei der Abfrage -DNS Standard query PTR 255.255.255.255- aufgemacht. Also macht doch die Box dann schon auf. Ich sehe das ja auch an der besagten LED Es sind übrigens UDP-DNS Abfragen.

Wenn diese DNS Abfragen notwendig sind, warum blieb dann die Fritzbox bei XP ruhig solange kein Browser geöffnet wurde. Diesen Zustand müsste man doch auch unter Win7 herstellen können.

 

[RalfFriedl]

Der Port wird nicht "bei einer Abfrage" aufgemacht, der Port ist immer offen.

Hast Du kontrolliert, daß wirklich genau dies die Anfrage ist, die zum Aufbau der Verbindung führt?

 

[MisterX77]

Ja, bei dieser Zeile macht die Box auf. Ich habe mal das Netzwerkkabel am Switch unmittelbar nachdem die Box die LED aktiviert herausgezogen. Danach ist sie für den PC nicht mehr erreichbar und es erscheinen dann auch keine weiteren Einträge mehr im WireShark Protokoll, aber die LED ist an. In seltenen Fällen kommt es auch mal vor, dass die DNS –Abfrage nach 252.0.0.224 noch erscheint. Das kann aber daran liegen, dass der Stecker zu spät gezogen wurde.

Die 1.168.178.192 gehört zum Asia Pacific Network Information Centre. Die benutzen den gesamten IP-Bereich mit einer Eins an der ersten Stelle. Der Server, der die 1.168.178.192 nutzt soll angeblich irgendwo in China stehen. Keine Ahnung woher die Anfrage kommt. Aber die sie taucht immer erst später auf und wenn der Stecker rechtzeitig gezogen wird gar nicht mehr.

Also, die Box macht auf jeden Fall bereits bei der
-DNS Standard query PTR 255.255.255.255.in-addr.arpa-
auf.

 

[RalfFriedl]

Vielleicht hast Du einen Möglichkeit, herauszufinden, welches Programm diese Anfrage veranlaßt.

Ansonsten kannst Du versuchen, diese Anfrage durch einen Eintrag in der hosts-Datei zu verhindern.

Angesichts dessen, daß Du weißt, wie man herausbekommt, zu dem die Adresse 1.168.178.192 gehört, wundert es mich, daß Du nicht weißt, daß hier nach der Adresse 192.168.178.1 gefragt wird.

 

[wichard]

Ja, bei dieser Zeile macht die Box auf.

Woher bist Du Dir da so socher? Was sagen denn die anderen Zeilen? Weißt Du sicher, dass die DSL-Lampe angeht, wenn der Aufbau der Verbindung startet, oder vielleicht erst, wenn die Verbindung steht?

Ich habe mal das Netzwerkkabel am Switch unmittelbar nachdem die Box die LED aktiviert herausgezogen. Danach ist sie für den PC nicht mehr erreichbar und es erscheinen dann auch keine weiteren Einträge mehr im WireShark Protokoll, aber die LED ist an.

Klar, die Box hat die DSL-Verbindung aufgebaut und trennt sie erst nach x Minuten wieder. Dass sie vom PC nicht erreichbar ist, ist auch irgendwie logisch...

In seltenen Fällen kommt es auch mal vor, dass die DNS –Abfrage nach 252.0.0.224 noch erscheint. Das kann aber daran liegen, dass der Stecker zu spät gezogen wurde.

Stecker raus - keine Daten mehr durch die Netzwerkkarte. Eigentlich logisch.

Die 1.168.178.192 gehört zum Asia Pacific Network Information Centre.

Nein, die gehört Deiner Fritz!Box. Bitte mal in Dreierblöcken von hinten nach vorne lesen.


Gruß,
Wichard

 

[MisterX77]

Also erstmal vielen Dank Leute, für eure Geduld mit mir.
Damit keine Missverständnisse entstehen, habe ich mal den Ablauf aufgelistet:

1. Ich starte Win7
2. Wenn alles hochgefahren ist ist bereits das Icon von Zonealarm rot. Sämtlicher Netzwerkverkehr (LAN und Internet) wird von Anfang an blockiert und die Box bleibt still.
3. Ich starte WireShark und aktiviere das Liveprotokoll der Netzwerkkarte
4. Ich gebe über das rote Icon von ZoneAlarm den Netzwerkverkehr frei.
5. jetzt Protokolliert Wireshark sämtliche Daten die über die Netzkarte laufen.
6. Sobald die LED an geht ziehe ich sofort das Netzwerkkabel.
7. Bevor ein neuer Versuch mit dem Neustart von Win7 gestartet wird, schließe ich das Kabel wieder an und trenne ich die DSL-Verbindung mit Reconnect.

Da ja das Protokoll von Wireshark auch hinterherhinken könnte, habe ich mal den Versuch mit dem Herausziehen des Netzwerkkabels gemacht. Da liegt scheinbar ein Denkfehler drin, oder wie verstehe ich das?

Ich habe jetzt mal alle Kopfzeilen aus dem Protokoll herauskopiert ohne den Stecker zu ziehen. Die ARP Zeilen habe ich wegelassen.

3 0.000531 192.168.178.28 192.168.178.1 DNS Standard query PTR 252.0.0.224.in-addr.arpa
10 9.998751 192.168.178.28 192.168.178.1 DNS Standard query PTR 255.255.255.255.in-addr.arpa
11 11.396586 192.168.178.28 192.168.178.255 BROWSER Domain/Workgroup Announcement WORKGROUP, NT Workstation, Domain Enum
12 12.077979 192.168.178.28 224.0.0.252 LLMNR Standard query A dns_registration
13 12.166186 192.168.178.28 224.0.0.252 LLMNR Standard query A dns_registration
14 19.998599 192.168.178.28 192.168.178.1 DNS Standard query PTR 1.178.168.192.in-addr.arpa
17 20.009104 192.168.178.1 192.168.178.28 DNS Standard query response PTR fritz.wlan.box

Danach hört der Datenverkehr auf. Die Fritzbox hat in jedem Fall dann die DSL Verbindung gleich am Anfang aufgemacht.

 

[wichard]

Hast Du evtl. noch einen weiteren PC / Laptop, mit dem Du mal AUF DER BOX den Verkehr mitschneiden kannst, während der PC bootet und dann den GANZEN Capture hier hochladen kannst? Auf der Box gibt es (versteckt) die Möglichkeit, alles, was über die Box läuft, mtzuschneiden (Paketmitschnitt auf DSL-Ebene (Standard)).


Gruß,
Wichard

 

[gandalf94305]

Der Unterschied zwischen Win XP und Win 7 könnte darin bestehen, daß Win XP für die Multicast und Broadcast Adressen keine DNS-Lookups gemacht hat, während Win 7 dies nun dürchführt.

Ich sehe hier aber immer noch nichts Besorgnis Erregendes im Zeitalter der Internet-Flatrates.

--gandalf.

 

[Blaria]

Also ohne das jetzt wirklich zu wissen, würde ich behaupten, dass du bei Win7, ebenso wie wahrscheinlich auch bei Vista, keinen Einfluss auf das Verhalten hast und sich der Internetzugriff nicht abstellen lassen wird.
Je nachdem wo Microsoft die "Internet-Erkennung" eingebaut hat (also weiss ich absolut nicht), sind ZoneAlarm, oder andere Desktop-Firewalls nicht mal in der Lage es zu blocken *g* und Logger-Programme die auf dem selben PC laufen mögen es nicht mal mitbekommen:
Denn seit Win-Vista ist im Betriebessystem ja die "Internet-Erkennung" eingebaut, schon das Systray-Icon und natürlich auch das Netzwerk und Freigabecenter sagen dir ja seit Vista direkt, ob nur eine lokale Netzwerkverbindung besteht, oder Internetzugriff - dieses Feature gab es unter XP noch nicht.
Und ich erwarte da nicht, dass Win7/Vista da einfach nur warten, ob nach 20-30 Sekunden die ersten Viren anklopfen zur Internet-Erkennung, dann wäre die Funktion hinter einer Router-Firewall ja auch schon ausgehebelt, sondern ich gehe davon aus, dass Windows schlicht und ergreifend eine Anfrage ins Internet sendet - und ein normaler Router geht dann natürlich online, wenn irgendwo im lokalen Netzwerk ein Zugriff aufs Internet erfolgen soll, ist bei dir ja auch so *g*
Und da würde ich jetzt nicht unbedingt erwarten, dass sich dieses Verhalten über eine Desktop-Firewall, welche ihrerseits auf die Netzwerkverbindung aufsetzt, blocken lässt.
Eventuell lässt es sich durch einen falsch konfigurierten DNS-Servereintrag, oder Gatewayadresse beheben, müsste man dann mal 192.168.178.x eintragen (x= nicht die Router-IP/.1 und auch nicht die IP des eigenen PCs), aber dann hat man natürlich erstmal rumzubasteln, um dann ins Internet zu kommen, daher wahrscheinlich auch nicht gewünscht.

 

[wichard]

...oder einen Router verwenden, bei dem die Internetverbindung tatsächlich manuell auf- und (halb)automatisch abgebaut werden kann. AFAIR war das bei einigen SMC-Modellen so. VoIP bei Ich-hab-nur-manchmal-Internet macht ja auch nicht so richtig Sinn...


Gruß,
Wichard

 

[MisterX77]

Hast Du evtl. noch einen weiteren PC / Laptop, mit dem Du mal AUF DER BOX den Verkehr mitschneiden kannst

Bei dem „Mitschnitt auf DSL-Ebene Standard“ komme ich beim Speichern der Datei auf einem zweiten PC auf eine Downloadrate von ca. 30 Byte/sec. Nach über einer Stunde habe ich bei einer Dateigröße von 17KB abgebrochen. Keine Ahnung wie lange das noch gedauert hätte. Irgendwas läuft da wahrscheinlich verkehrt.

Ich-hab-nur-manchmal-Internet macht ja auch nicht so richtig Sinn...

Ich hab die 3270, das ist die aktuelle Fitzbox ohne Telefonfunktionen, daher brauche ich keinen dauerhaften Internetzugang. Fürs Telefon habe ich noch die gute alte FritzX-Isdn und bin daher mit der 3270 unabhängig von Telefon.

aber dann hat man natürlich erstmal rumzubasteln, um dann ins Internet zu kommen, daher wahrscheinlich auch nicht gewünscht.

Da sich sich bis jetzt keine praktikable Lösung ergeben hat, könnte man fürs Erste folgende provisorische Lösung nehmen:

Zusätzlich zu ZoneAlarm wird die Netlimiter 3 Beta 7 installiert. Die gibt es in der 64bit Beta-Version als kostenlose zeitbegrenzte Testversion. Bei der kann man die Limiter Funktion abschalten und hat dann eine kleine einfache Firewal. Bei dieser Kombination kann man mit der geblockten ZoneAlarm Einstellung (rotes Schloss im Tray) aufs LAN zugreifen. Dabei bleibt die Fritzbox beim Booten, beim Runterfahren und beim LAN-Zugriff ruhig.

Wenn man aufs Internet zugreifen will, reicht ein Klick auf das rote Schloss Icon und man kann Surfen wenn man will.

Sobald man aus dem I-Net aussteigt kann durch einen Klick per Reconnect die Box wieder geschlossen werden.

Der PC besteht ja schließlich aus einigem mehr als dem Internet. Ich neige sowieso dazu das Internet vorwiegend mit einen zweiten PC, der nur unwichtige Daten enthält zu nutzten. Dafür reicht ein Pentium3 allemal.

Vielleicht findet sich innerhalb dieses Treads ja doch noch eine perfekte Lösung. Fachwissen steht ja ausreichend zur Verfügung. Ich muss ehrlich sagen, hier werden Einsteiger nicht abweisend behandelt, auch wenn sie noch so dumme Fragen stellen, das findet man selten.

 

[wichard]

Irgendwas läuft da wahrscheinlich verkehrt.

Nö. Oben auf der Capture-Seite steht:

Starten Sie den Mitschnitt über die entsprechende Start-Schaltfläche und speichern Sie die Datei auf der Festplatte. Zum Beenden des Mitschnitts drücken Sie die Stop-Schaltfläche.

Wichtig: Brechen Sie nicht den Download im Browser ab, wenn Sie den Mitschnitt beenden wollen, sondern drücken Sie die entsprechende Stop-Schaltfläche.

In den 17 kB war sämtlicher Traffic, der seit Beginn des Mitschnitts angefallen ist, aufgezeichnet.

Solltest Du noch einmal einen Mitschnitt wie oben genannt anfertigen, zunächst noch ein wichtiger Hinweis: Der Mitschnitt kann eventuell Benutzernamen und Passworte im Klartext enthalten (DSL-, Mail-, Messenger-, ...Zugangsdaten). Bitte also nicht ganz unkontrolliert hochladen, ggfs. "anonymisieren" oder nur vertrauenseeligenwürdigen Leuten zur Begutachtung an die Hand geben.


Gruß,
Wichard

 

[doc456]

Vielleicht stoppst du einfach mal die Dienste für's Heimnetzwerk...

 

[sven@mainz]

Dir ist klar, daß alle Programme, die zur Kontrolle des Netzwerkverkehrs auf dem PC installiert werden, den sie kontrollieren sollen, dies nur können, wenn das Betriebssystem soweit bereit ist und diese Programme/Dienste auch gestartet sind? Sprich: Beim Hochfahren kann Windows immer noch machen, was es will und es hat - meiner Meinung nach - wenig Zweck etwas kontrollieren zu wollen, das kann nur mit einem zweiten PC/Router aus gemacht werden, der den gesamten Netzwerkverkehr vom PC-Start an mitschneidet.

Und ein Vergleich von Win 7 mit XP hinkt gewaltig, die Unterschiede werden so gravierend sein, so daß ein Vergleich der Verhaltensweisen einer von Birnen und Äpfel sein wird.