06. august 2003 - 15:56Der er
12 kommentarer og 2 løsninger
net_sendpacket error
Hej...
Jeg har lidt problemer med mit cs... Når jeg hoster et game, så går der lidt tid... (nogle gange lang tid, andre gange knap så lang tid)... Så kommer der en net_sendpacket error... WSAIENTR... Helt præcis...
Når den fejl kommer lukker cs ned... Dog køre computeren og internetforbindelse forsat stadigvæk uden problemer...
Men altså problemet er jo noget med noget netværksting, så derfor kiggede jeg i min firewall's log... (PC-Cillin 2002's indbyggede firewall)... Og jo, der var noget... Firewallen har blokeret 27015 UDP for udgående trafik lige i det øjeblik mit cs er gået i spat...
Grunden til at der så bliver blokeret for port 27015 UDP, er fordi der bliver sendt et 'Deep Throat'-trojan-signal ud fra min ip på port 27015 til port 3150 på en udkendt ip... Og ikke en ip, der har spillet med i cs... Port 3150 er 'Deep Throat'-trojanens port... (Port 2140 bliver også brugt engang i mellem, men det er mest 3150)...
Grunden til at mit cs går i spat er altså fordi min firewall bloker for trafikken på port 27015 og det kan cs jo ikke lige klare, når det er der at dens signaler køre på...
Men da port 3150, er den port 'Deep Throat' bruger, må det jo betyde at jeg har klient versionen af 'Deep Throat', altså sådan at jeg skulle kunne styre 'serverene', altså maskiner som har fået 'Deep Throat'-trojanen ind på der computer...
Men det sjove er jo så at jeg ikke selv har installeret nogen klient version af 'Deep Throat', da jeg ikke har noget at bruge den til...
Har Valve puttet en klient version af 'Deep Throat' i Half-life/cs..? Og til hvad gavn? Eller hvad er det lige der sker?
Jeg har selvf. scannet min computer for altmulig..! Både med mit normale antivirus-program (PC-Cillin 2002) og diverse online scannere... Panda m.m.... Har også scannet med 'trojan-scannere'...
Hvorfor er det altid at jeg stille disse spm. på det forkerte tidspunkt af døgnet..! Nåmen, så må jeg jo prøve igen om en uge... (i henhold til regel 2.1.11)
Hvis der da ikke kommer nogle svar nu, når dette spm. bliver listet på listen over spm. med nye indlæg... :)
Det er egentlig ikke godt aa vite 100 % om utgaaende trafikk paa den aktuelle port er fra cs eller fra en trojan. Skulle jo naermest tro at det dreide seg om en request fra cs selv ettersom den gaar ned.
Det er ellers en vanlig maate aa spre trojanere paa, etter det jeg har lest, aa legge dem med som vedlegg til forskjellige ellers "nyttige" program. Naar det programmet som man oensker kommer paa plass saa kommer trojaneren paa plass samtidig. (Men hvorfoe skulle da cs gaa ned paa grunn av at trojaneren blir stanset, det lyder ikke rimelig, de kjoerer jo ellers som helt uavhengige prosesser, skulle en tro.)
Hvis man ville undersoeke denne problemstillingen grundig saa kunne man slaa av firewall og saa dumpe trafikken vha en packet sniffeer som kjoerer paa samme maskin som cs. Du vil da kunne faa en detaljert oversikt over hvordan trafikken kjoerer. (Problemet er vel ellers at den kan bli litt for omfattende og detaljert.)
Jeg ville ellers vurdert aa noeye meg med XP sin innebygde firewall akkurat i de periodene som jeg kjoer spillet og ellers saa ville jeg ha fjerne alle viktige data fra denne maskinen.
Det aa bruke packet sniffer paa den aktuelle maskinen som har firewall, det er ellers den "standard metoden" man kan benytte ved all komplisert konfigurering av firewall eller hvis man skal kartlegge i detalj hva slags trafikk man egentlig har.
Haaper det kommer noen svar fra noen som kan mere om cs enn meg. Har aldri satt det opp selv, men har hatt en del brukere paa mine nettverk som har brukt det og det har da fungert, har jeg inntrykk av.
Min firewall lukker for port 27015 fordi at det er derfra signalet til port 3150 kommer fra... Og når 27015 bliver lukket så fungere cs ikke... Det ville være smartere at den bare lukke for de udgående signaler til den bestemte port på den anden ip, i stedet for at spærre en originale port på min computer...
Men jeg prøver lige at hente Packet Sniffer, det kan jo være at der kommer nye detaljer i sagen så... Men eller hvis der er nogen der kender noget svar på min problemstilling uden info's fra Packet Sniffer, så vil jeg stadigvæk meget gerne høre...
Det er ikke helt vanlig aa filtrere paa avsendt portnummer, men det kan da saktens la seg gjoere. Mon det kunne vaere mulig aa sla den funksjonen fra ??
Jeg har nu sniffet lidt... Og jeg kan se at den ip som der bliver sendt et 'Deep Throat'-signal (Denne gang var det via port 2140) til er en ip, som går igen en del gange i min sniffede log...
Men det sjove er at der via den ip bliver sendt en masse info's om cs... Så jeg tror at den ip er en af Valve's server som holder styr på hvormange cs-servere der er online, og hvad der helt præcis forgår på dem... Dette sker på mange forskellige porte... Og en at dem er port 2140...
Men det sjove er så at der i det sniffede står at der er kommet data ind via port 2140, men det som min firewall blokere for er et enkelt udgående signal via 2140... Og den er nemlig ikke i det sniffede... Dvs. at der kan gå signaler til port 2140 ind, men ikke ud?
Dette skyldes vel sannsynligvis det som man kaller "connection tracking" dvs at trafikken som initierer pakken til din 2140 egentlig opprinnelig er generert som request fra din egen maskin paa en allerede godkjent port. (Sansynligvis med din maskins port 2140 som avsender.)
Naar din maskin saa i neste omgang forsoeker aa sette opp den samme trafikken paa egen haand til port 2140 saa senser ikke din firewall dette som en del av en allerede etablert trafikk og derfor saa blokkerer den pakken.
Tror ikke det finnes noe enkelt svar paa hvordan man kan opprettholde sikkerheten like bra til en PC som benyttes til spill der det brukes en hel del porter.
Slik som du beskriver trafikken saa er det vel ikke helt sannsynlig at det dreier seg om en trojan. Det ser da ut som om trafikken tilhoerer CS.
Tror at man i all enkelhet er noedt for aa redusere sikkerheten for at en del nettspill skal kjoere. Man kan jo sette firewall tilbake til "normal" naar man ikke spiller.
Mon det kunne fungert litt bedre mht connection tracking hvis du hadde benyttet en hardwarefirewall med statefull inspection (Men for spill, saa vil jeg ikke garantere det.)
Hos en firewall som kjoerer "statisk" saa finnes det en fast fordeling mellom aapne og lukkede porter.
Hos firewalls med "statefull inspection" saa skal Firewall normalt vaere i stand til aa huske den forutgaaende trafikken slik at den aapner dynamisk for trafikk som har sin egentlige opprinnelse "internt" eller via godkjente porter.
Dette prisippet vil jo fungere i alle "normale" sammenheng, men naar det gjelder egentlig noe saa helt spesielt som den trafikken som inngaar i CS saa er det jo egentlig ikke godt aa vite.
Noen harware firewall (og softwarefirewalls ?) kan ogsaa konfigureres slik at de gir fri tilgang til alle porter fra en bestemt ip eller for eksempel alle porter over 1024 dersom man skulle oenske det.
Tror ikke at det egentlig finnes noe annet svar enn at man maa sniffe eller dumpe den trafikken man har naar tingene i prinsipp kjoerer uten firewall, og saa maa man sette opp firewall paa en slik maate at det passer best mulig med denne trafikken.
Forsjellige firewalls vil imidlertid kunne ha forskjellige muligheter til aa konfigureres paa en slik maate at det gir en rimelig god sikkerhet naar det sjelder slike komplekse trafikkmoenstre slik som de som for eksempel gjelder for spill.
Har haft samme program med net send packed error... men det var fordi at LAN passede ordenligt - En på LAN havde ikke samme ip - eller ikke sammen workgroup
langbein - Jeg skulle måske få fat i en anden firewall... Men jeg lader spm. stå åben, det kunne jo være at der var nogle der kendte en metode til at fixe cs's portvalg...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
