Исходящее UDP System на 65535 порт DNS – что это за подключение? – как исправить?

Новый компьютер с только что установленной Windows 7 Home Basic, антивирусом и брандмауэром был подключен к сети через модем ADSL в режиме маршрутизатора.

Однако никакие страницы не могут быть загружены.

Я посмотрел логи файервола. Заблокированы исходящие UDP-соединения системного процесса, порт назначения 65535, адрес назначения – DNS, предоставленный провайдером. Разрешил эти подключения – все заработало, сайты загружаются. Также отмечу, что этот процесс пытается подключиться к некоторым посещаемым сайтам, которые имеют довольно хорошую репутацию, а также к IP-обновлению антивируса. (Я разрешил эти подключения только для DNS, все остальное заблокировано, но все работает).

При ближайшем рассмотрении журналов я обнаружил, что сначала система пытается подключиться к 224.0.0.252 (исходящий порт UDP 49152, порт назначения 65535). Этот многоадресный адрес использует службу под названием LLMNR (только в описании указано, что LLMNR использует порт 5355). LLMNR отключен в журнале: исходящих вызовов на 224.0.0.252 больше нет, но система продолжает бить DNS-порт 65535.

Я начал отключать различные службы, пытаясь определить, даст ли это какой-либо результат. Включение и отключение службы DNS на клиенте оказало влияние.

Первый вариант заключается в том, что служба DNS-клиента включена. Система (PID 4) пытается подключиться к DNS, порту назначения 65535, исходящему порту 49152. Если это соединение заблокировано, сайты не загружаются. IP-сайты не доступны. Нет DNS-подключений для активных подключений, включая svchost.exe на 53-м порту.

Если вы разрешите исходящее системное UDP-соединение с DNS-портом 65535, все будет загружено. Активные соединения имеют исходящее UDP-соединение svchost.exe с DNS-портом 53.

Второй вариант – отключена клиентская служба DNS. Система (PID 4) пытается подключиться к DNS, порту назначения 65535, исходящему порту 49152. Если это соединение заблокировано, сайты загружаются. Для всего программного обеспечения, взаимодействующего с сетью, требуется подключение к DNS (порт назначения UDP 53). В активных подключениях нет svchost.exe. Обновление Windows не происходит (возвращает ошибку), хотя svchost.exe имеет разрешение на подключение к диапазону IP-адресов Центра обновления Windows. В журналах брандмауэра нет записей о блокировке svchost.

netstat -a выдает, в частности, следующую строку UDP 0.0.0.0:49152 *: * netstat -abn говорит, что (не помню буквально, но по смыслу) «невозможно определить владельца этого соединения”.

Буду признателен, если мне объяснят, что это за подключение, потому что в сеть лезет. Отвечать

Портмон установил его, когда я запустил explore.exe, вошел в сеть, запретил это соединение – после чего Portmon не предоставил никакой полезной информации.

Некоторые проблемы исправлены: если система полностью заблокирована от доступа к сети, я могу загружать сайты (были неточные настройки правил брандмауэра для браузера). Но система (PID 4) все еще пытается создать исходящее UDP-соединение, исходящий порт 49152, порт назначения 65535. Я активировал Wireshark и видел данные об этом соединении в журналах. Ниже приведены данные одного из пакетов:

66 байтов на проводе (528 бит), 66 байтов захвачено (528 бит)
Тип IP (0x0800)
Интернет-протокол, Src: (Мой IP), Dst: (IP-адрес DNS или сайт)
Версия 4
Длина заголовка: 20 байт
Поле дифференцированной службы: 0x00 (DSCP 0x00: по умолчанию; ECN: 0x00)
Общая длина: 52
ID: 0x371b (14107)
Флаги: 0x00
Смещение фрагмента: 0
Время жить: 128
Протокол: UDP (17)
Контрольная сумма заголовка: 0x16fe (правильно)
Источник: (Мой IP)
Место назначения: (IP-адрес DNS или посещенный сайт)
Протокол пользовательских дейтаграмм, Src. Порт: 49152, Dst. Порт: 65535
Длина: 32
Контрольная сумма: 0x01b4 [проверка отключена]
[Хорошая контрольная сумма: ложь]
[Неверная контрольная сумма: ложь]
Данные (24 байта)
Данные: (здесь строка более 40 символов)
[Длина: 24]
Данные в строке данных немного отличаются от пакета к пакету. Входящих звонков нет. Если вы разрешаете это соединение в брандмауэре, но он отправляет свои 66 байтов каждые несколько минут.

Я хотел бы понять, что это за соединение, потому что оно пытается подключиться к DNS и посещаемым сайтам.

Источник: https://answers.microsoft.com/ru-ru/windows/forum/all/ downstream / f4466f57-88fa-4f5a-8c66-4591f2b228c3

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.