Sovellukset yrittävät muodostaa yhteyttä osoitteseen ff02::2?

  • Keskustelun aloittaja Keskustelun aloittaja herccu
  • Aloitettu Aloitettu
Liittynyt
28.10.2016
Viestejä
184
Käyttöjärjestelmä Windows 7, tässä on nyt parin viime päivän aikana tullut "normaalista" poikkeavia yhteyspyyntöjä satunnaisilta sovelluksilta/prosesseilta tuohon ff02::2 osoitteeseen, yksi-kaksi päivässä. Poikkeavia siten, että aikaisemmin ei vastaavia ole tullut vastaan. Viimeisimmät pyynnöt tulleet tehtävienhallinnalta, mpc-hc:lta ja dllhostilta. Eniten tuo tehtävienhallinta ihmetyttää, lokien mukaan ei olisi ikinä tämän winukan asennuksen aikana pyytänyt mitään nettiin liittyvää (palomuuri Comodo, itse ruksinut kaikki sovellukset, jotka "pääsevät" nettiin). Miksi edes tehtävienhallinnan pitäisi muodostaa yhteyttä yhtään mihinkään koneen ulkopuolelle?
Mpc-hc:n ei myöskään pitäisi yksinään koittaa yhteyksiä muodostella.

Ja sitten tuo osoite, Wikipedian mukaan tarkoittaisi "all routers on the local network segment" eli tuo minun modeemi/reititin -kombo? Kone siis ihan perus lähiverkossa, ei sillattuna.

En tiedä, liittyykö asiaan, mutta käytin viime viikolla USB-tikun työpaikan koneessa (maannut varastossa ties miten pitkään, ei päivitelty varmaan ikinä) kiinni ja saman tikun tökkäsin seuraavaksi tähän omaan koneeseen. Avast huusi, että tikulla olisi LNK:Runner virus, mutta ei tätä omaa konetta tuon jälkeen skannaillessa (avast, sfc/scannow) mitään löytynyt. Tikku tosiaan oli kuitenkin saanut tartunnan.

Tuossa nyt vielä lokiviesti tuosta yhteysyrityksestä, samanlaisia kaikki:

Firewall Event|5|filePath=C:\Windows\System32\taskmgr.exe fname=taskmgr.exe act=ask reason=detect cat=fw deviceDirection=Out cs1=ICMPv6 src=fe80::8b4:e1ba:a295:e56 spt=Router<space>Solicitation dst=ff02::2 dpt=Router<space>Solicitation suser=Administrators spriv=Administrator deviceNtDomain=BUILTIN fileHash=E8B4D84A28E5EA17272416EC45726964FDF25883 deviceExternalId=e37017e90f037eba03192f97a392e5b9237086c5 dvchost=a

Onkohan tämä taas turhaa paranoiaa vai pitäisikö ruveta tarkemmin selvittämään?
 
Se on IPv6 Multicast -osoite. Noista yleensä ei tarvitse olla huolissaan.
 
Firewall Event|5|filePath=C:\Windows\System32\taskmgr.exe fname=taskmgr.exe act=ask reason=detect cat=fw deviceDirection=Out cs1=ICMPv6 src=fe80::8b4:e1ba:a295:e56 spt=Router<space>Solicitation dst=ff02::2 dpt=Router<space>Solicitation suser=Administrators spriv=Administrator deviceNtDomain=BUILTIN fileHash=E8B4D84A28E5EA17272416EC45726964FDF25883 deviceExternalId=e37017e90f037eba03192f97a392e5b9237086c5 dvchost=a

Kuten tuossa sanotaankin, tuo on ICMPv6-viesti, tarkemmin sanottuna IPv6 Router Solicitation, jolla kone ilmoittaa IPv6-reitittimelle olevansa olemassa ja toiminnassa. Se hoitaa osan niistä tehtävistä joita perinteisessä IPv4-maailmassa hoidettiin ARP:illa, DHCP:llä ja IGMP:llä. Se on osa IPv6-ajuripinon normaalia toimintaa. Tietääkseni sitä ei ole pakko lähettää, mutta siitä on etunsa.

(IPv4-maailmassa tunnetaan lähinnä vastaava "gratuitous ARP" eli jos kone vaihtaa aktiivista verkkoliitäntää, havaitsee uuden verkkoyhteyden tai vastaavaa, se huutelee kerran tai pari ARP-kyselyjä omalle MAC-osoitteelleen ja vastaa niihin itse. Tämä auttaa IP-osoitepäällekkäisyyksien tunnistamisessa ja kertoo kytkimille missä kytkimen portissa tämä MAC-osoite on: jos kone siirrettiin juuri yhdestä portista toiseen, kytkin saattaisi muuten ohjata tälle koneelle saapuvan liikenteen vielä "vanhasta muistista" vanhaan porttiin kunnes vanha tieto poistuu kytkimen MAC-osoitetaulusta. IGMP taas liittyy multicastien välitykseen.)

On toki olemassa myös DHCPv6, mutta IPv6 on järjestetty niin että sitä ei tiettyjen ehtojen täyttyessä välttämättä tarvita ollenkaan, vaan kone voi kuunnella reitittimen säännöllisiä IPv6 Router Advertisement-viestejä, todeta niistä verkon IPv6-prefixin, muodostaa siitä ja verkkokortin MAC-osoitteesta itselleen IPv6-osoitteen ja ryhtyä liikennöimään muitta mutkitta - vaikka maailmanlaajuisesti.

Muun muassa tämän asian vuoksi IPv6:n olisi tarkoitus olla IPv4:ää automaattisempi ja helpompi käyttää. Tuollaisten säännöllisten "heartbeattien" olemassaolo tekee myös sen, että vikatilanteiden havaitsemisen pitäisi olla helpompaa.
 

Statistiikka

Viestiketjuista
258 396
Viestejä
4 489 757
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom