Stor trafik via ndisuio.sys

Den er en del af windows, DU skal bare blokkere den i firewallen.

Findes i Service pack 4
ndisuio.sys 2003/06/19 5.0.2195.6655 11,984 NDIS User mode I/O Driver

***************************

FILENAME: Ndisuio.sys.
PROGRAM NAME: NDIS User I/O.
DESCRIPTION: Internal Windows driver; performs internal communications tasks within Windows.
RECOMMENDED ACTION: Always permit.

fra http://www.pcmag.com/article2/0,4149,771890,00.asp

********************************************************

Bloker den, der er ingen grund til den står og henter data, dårlig sikkerhed

Jeg har blokeret den og har så holdt lidt øje med den. I nogle få minutter var der ingen trafik, men så tog den fat igen. Lige nu er nettrafikken den samme som før (ca. 5 Kb kontinuerligt) med den forskel at al trafik på ndisuio.sys bliver blokeret.

Hvis det er en intern Windows driver hvis formål er at varetage intern kommunikation i Windows, hvad laver den så på Internettet? og hvad er det for noget trafik (læs: hvordan kan jeg finde ud af hvad det er for noget trafik)?

har læst og leder lige videre.. vender tilbage

Microsoft lager jo også litt merkverdige ting. De setter jo også opp maskinene via windowsupdate til å kjøre utomatisk mot MS sin timeserver. På denne måte så vil de jo være i stand til å kjøre en hel del statistikk ...

her diskuteres fenomenet... nederst giver :p01nt (Instructor) en umiddelbare fint fortolkning.

http://www.tek-tips.com/gviewthread.cfm/lev2/3/lev3/21/pid/83/qid/360745

> Levithan: Interesante iagtagelser p01nt har. Jeg vil oprette en regel i SPF så jeg kan få nogle pakker i loggen til nærmere analyse (så får jeg se om jeg kan forstå noget af det)

> Langbein: Mener du dermed at trafikken på ndisuio.sys måske kommer fra MS? Hvad er en timeserver? og hvilken statistik?

Kjenner ikke til detaljene rundt ndisuio.sys

Når det gjelder time server så forholder det seg slik at jeg plutselig oppdaget at min pc begynte å sende automatiske beskjeder til Microsoft etter at jeg hadde kjørt windowsupdate. Ved litt nærmere undersøkelse så viste dette seg å være requester til Microsoft sin time server. Vanligvis så vil det jo fungere slik at når en klient eller en PC kontakter en server, regelmessig, så vil den som eier serveren kunne generere fram rapporter om hva slags operativsystem det er man kjører osv. Dette gjelder i hvert fall ved vanlig tcp ip når det settes opp trafikk for eksempel til web server. Kjenner ikke til at det for eksempel ikke er mulig å generere den samme type statistikk for en timeserver.

Jeg har en kommentar til Ndis også... Jeg er ikke sikker på at det er MS der "suger" oplysninger til sig... Jeg har nu Nmappet 4 forskellige IP adresser og de havner forskellige steder i verdenen, og napper en tilfældig port som man har åben på sin maskine... Jeg har en teori om at vi er ude i noget proxy detection her, men kan ikke sige det med sikkerhed... Jeg vender ligeledes tilbage med mere, når jeg har studeret det nærmere... Min umiddelbare anbefaling er...

Har du ting der skal være sikre, så bloker den i din FW, så er du godt på vej ;)

/WizDom