Подавление паразитного трафика в Windows 7.
Поводом для написания этой заметки послужил попавший ко мне ноутбук с интересной проблемой:
«Компьютер тратит интернет».
Да, в этой дыре нет наземных линий и безлимитных тарифов. Это печально.
Сначала нужно отключить все службы, использующие интернет не по назначению.
Панель управления -> Администрирование -> Службы
Отключить:
Защитник Windows
Маршрутизация и удаленный доступ
Общий доступ к подключению к Интернету
Служба времени Windows
Удаленный реестр
Фоновая интеллектуальная служба передачи (BITS)
Центр обеспечения безопасности
Центр обновления Windows
Тут же можно отключить службы обновления стороннего софта, например Adobe Read.
Поводом для написания этой заметки послужил попавший ко мне ноутбук с интересной проблемой:
«Компьютер тратит интернет».
Да, в этой дыре нет наземных линий и безлимитных тарифов. Это печально.
Сначала нужно отключить все службы, использующие интернет не по назначению.
Панель управления -> Администрирование -> Службы
Отключить:
Защитник Windows
Маршрутизация и удаленный доступ
Общий доступ к подключению к Интернету
Служба времени Windows
Удаленный реестр
Фоновая интеллектуальная служба передачи (BITS)
Центр обеспечения безопасности
Центр обновления Windows
Тут же можно отключить службы обновления стороннего софта, например Adobe Reader.
Далее нужно вычистить все лишнее в планировщике задач.
Программы -> Стандартные -> Служебные -> Планировщик заданий
Отключить:
AitAgent
ProgramDataUpdater
Consolidator
KernelCeipTask
UsbCeip
RemoteAssistanceTask
SynchronizeTime
HiveUploadTask
Еще здесь можно убрать фоновую дефрагментацию и прочую ересь.
Подбор браузера.
Здесь уже все придумано. SRWare Iron — клон Google Chrome без встроенного шпиона.
Важно! Не забыть установить AdBlock и Adblock Plus.
Топка локалхоста.
C:\Windows\System32\drivers\etc\hosts
Вписать туда:
127.0.0.1 validation.sls.microsoft.com
127.0.0.1 www.google-analytics.com
127.0.0.1 google-analytics.com
127.0.0.1 ssl.google-analytics.com
127.0.0.1 clients1.google.com
127.0.0.1 adservices.google.com
127.0.0.1 pagead.googlesyndication.com
127.0.0.1 pagead2.googlesyndication.com
127.0.0.1 imageads.googleadservices.com
127.0.0.1 imageads1.googleadservices.com
127.0.0.1 imageads2.googleadservices.com
127.0.0.1 imageads3.googleadservices.com
127.0.0.1 imageads4.googleadservices.com
127.0.0.1 imageads5.googleadservices.com
127.0.0.1 imageads6.googleadservices.com
127.0.0.1 imageads7.googleadservices.com
127.0.0.1 imageads8.googleadservices.com
127.0.0.1 imageads9.googleadservices.com
127.0.0.1 partner.googleadservices.com
127.0.0.1 www.googleadservices.com
127.0.0.1 apps5.oingo.com
127.0.0.1 www.appliedsemantics.com
127.0.0.1 service.urchin.com
И напоследок — не забыть поотключать автоапдейт и сбор статистики во всех прогах.
Результат: За один час паразитного трафика набежало около 100кб (до этого улетало более 10Мб).
Боремся с утечкой трафика на винде.
Сейчас мы будем лишать девственности Билли возможности утечки нашего трафика на сервера мелкомегких их же оружием.
Всю операцию буду проводить на виртуальной машине, хостовая машина выступит в роли стенда для снифинга и выявление утечки трафика с виртуальной машины.
Запускаем на виртуалке чистую вин 7 или 10.
идем в настройки фаера по пути Панель управления\Система и безопасность\Брандмауэр Windows и приступаем к настройке.
Включаем файрвол если был отключен.
Заходим в свойства, выставляем в вкладках: Профиль домена,Частный профиль,Общий профиль — вход. подключения: Блокировать (по умолчанию)
Исход. подключение: Блокировать
И так во всех 3-х вкладках
мы заблокировали абсолютно весь инет трафик
Попробуем запустить браузер и зайти на любую страницу, убедимся что доступ в инет будет закрыт.
Теперь нам нужно решить какие приложения в нашем списке доверенных
мой список короткий
И доступ svhost’y к автоматической коррекции времени на сервер майкрософта.
И так первым делом откроем доступ в инет браузеру:
Жмем в настройках Правила для исходящих соединений > создать правило > для программы > указываем путь до исполняемого файла > разрешить подключение
> Галки оставляем > даем любое имя
Обновляем адрес в браузере получаем доступ
И так с каждой программой которой мы хотим пустить в сеть.
Теперь у нас кроме браузера не один сервис не может вылезти без нашего ведома в инет.
По желанию- разрешим процессу svhost чтобы он мог синхронизироваться с сервером времени.
Добавляем правило и в свойствах настроем следующее пункты:
Вкладка:Протокол и порты: Тип udp
Вносим эти айпишки
Мне хватает этих ip чтобы синхронизировать время, синхронизация идет перебором этих адресов.
Теперь нам нужно убедиться что трафик не пойдет налево, ведь это виндовс он может сам жить своей жизнью. Нужен независимый снифер который будет снифать процесс виртуалки.
Для этого на хостовой машине настроил фильтр захвата трафика только виртуалбокса с сохранением лога каждую секунду.
Перезагрузил виртуалку и стал наблюдать.
После перезагрузки сетевой активности обнаружено не было, зашел на виртуальную систему в браузер и увидел сетевую активность только по тем адресам на которые я попал через браузер.
Закрыл браузер и оставил на сутки под наблюдение.
Вы можете наблюдать месяцами ) я например наблюдаю несколько лет так как у меня есть отдельный стенд под это дело. За два года не было замечено и байта ушедшего дяде Билли.
Какую выгоду мы поимели- Отрезали все шпионские модули, антивирус нам стал ненужен, если даже мы подсадим трой он не достучится, если конечно при запуске вы сами не дадите ему админ прав и он пропишется в правилах.
Файлы подозрительные тестирую на виртуалке если все нормально пересаживать на хостовую.
Обновления на винду раз в полгода скачиваю и ставлю руками.
Что я понял, Винда решето, но в умелых руках и х.. балалайка.
Никогда не доверял антивирусам и файрволам особенно сделанных в России о которых потом пестрят в новостях.
Если моя статейка зайдет следующая будет о том как настроить такую блокировку вместе с впн, что даст нам иммунитет от слива трафика налево при разрыве с впн с помощью штатного файрвола.
DarkNess
Личный блог DarkNess. Только технические темы.
воскресенье, февраля 22, 2015
Как отучить Windows пожирать трафик и процессор (svchost.exe), плюс доп защита от взлома
Обратил внимание что «что то немилосердно жрет трафик». начал искать что. Думал вирусня, но этой вирусней оказался как всегда сам Windows. Если Вы работаете через «безлимитный» да еще скоростной интернет, то это можно и проигнорировать, но если Вы используете интернет например через GPRS, то «может вылететь в копеечку». Это только один из «пожирателей трафика», но у меня он оказался самым «прожорливым», да еще и резко повышает загрузку процессора, поэтому решено было «урезонить» 🙂
Найти «в лоб» «родными средствами» windows его сложно, и даже сторонними приложениями не очень — многие из них пишут что «трафик кушает система», а «кто конкретно и почему» ? При более детальном рассмотрении, удается найти что «жрет трафик» svchost.exe, но это ни о чем не говорит — этих процессов множество и за ними кроются совершенно разные системные программы. Дальнейшие разборки показали, что основной пожиратель трафика «под видом системы» (у меня по кр мере) оказалась служба, цитирую полностью ее название и описание: «Фоновая интеллектуальная служба передачи (BITS) Передает файлы в фоновом режиме работы, используя незанятую пропускную способность сети. Если эта служба заблокирована, то любые приложения, зависящие от BITS, такие как центр обновления Windows или MSN Explorer, не смогут автоматически загружать программы и другую информацию»
Поскольку я обновления системы «автоматические» давно отключил, и делаю их в ручном режиме, чтобы не мешали не вовремя и не было «неприятных сюрпризов от майкрософт», и вообще не люблю когда «что то кудато лезет и неизвестно куда данные посылает без моего ведома», она вроде как и не должна использоваться, ан нет — все равно что то качает, при чем с такой силой, что ее трафик превышает часто трафик всех остальных приложений (ну кроме торрента). Решается проблема просто. Зайти в панель управления. потом в администрирование, выбрать управление сервисами и отключить ее там. При чем нужно не просто отключить, а еще потом зайти в свойства службы, и там ее тоже запретить. Все.
Если вдруг решите что она Вам всетаки нужна — заходите снова в управление сервисами, и в свойствах службы, снова ее разрешаете. то есть это вполне обратимо, но думаю Вам она никогда не понадобится, а трафика сэкономите изрядно,
Если у Вас включена возможность дистанционного подключения к Вашей Windows, то возможна еще одна причина больших «утечек трафика» по порту 3389. По этому порту происходит удаленное подключение компьютеру. И на негоже могут пытаться проводить атаки из интернета, в попытке подобрать пароль, плюс через негоже часто производят взлом компьютера — как через «дыры» в виндовз, так и пользуясь тем, что многие пользователи ставят простые пароли. И даже если Ваш компьютер не взломали, сама непрерывная !атака в попытке подобрать пароль» может приводить к существенным потерям трафика и росту нагрузки на процессор. Если Вам вообще не нужен удаленный доступ — закройте этот порт через брендмауер виндовз, так чтобы к нему вообще был не возможен доступ снаружи.
Для этого. Заходим
Панель управления > Система и безопасность > Брандмауэр Windows > Дополнительные параметры.
Выбираем «правила для входящих подключений» (на панели слева), потом «создать правило (на панели справа). Выбираем «для порта». Жмем «Далее». Выбираем «протокол TCP», мнизу выбираем «определенные порты», вводим номер порта 3389, жмем «Далее». Выбираем «блокировать подключение», жмем Далее. На следующем шаге, ставим все галочки против «Доменный», «Частный», «Публичный», Жмем далее. Появляется поле для ввода имени и описания. Вводите понятное имя — например «защита от атак удаленного доступа», или что угодно что Вам удобнее. Нажимаем «готово».
Все, теперь любые попытки подключения к этому потру будут блокироваться, без нагрузки на процессор и генерации дополнительного трафика. И взлом по нему станет не возможным в принципе.
Если Вам нужно сохранить функции удаленного доступа и не хотите нарушать работу системы.
Тогда есть второй путь. Все «хакеры» обычно просто тупо «сканируют» где найдется порт «3389», и потом начинают попытки его «ломать» (это делается автоматически утилитами, естественно никто давно не сидит и в ручную не подбирает и не ищет). Сканируют сеть на конкретные порты — сканировать «на все сразу» — будет неэффективно, очень много времени займет. Поэтому второй способ защиты — перенести подключение RDP на другой порт (сменить стандартный порт RDP на нестандартный), лучше куда нибудь в диапазон выше 10000 — обычно сканируют порты из диапазона до нескольких тыс, так как именно на них обычно сосредоточены все уязвимые сервисы windows.
Для этого. Нажимаем кнопку «Пуск» и в строке запуска вводим «regedit».
В открывшемся редакторе реестра выбираем
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
Кликнув мышкой по выбранному пункту RDP-Tcp, в правой колонке ищем параметр с именем «PortNumber». Там скорее всего будет значение D3D(3389). Кликаем на имени параметра дважды, в открывшемся окошке, выбираем «десятичное» и вводим от фонаря какой нибудь порт в диапазоне от 1000 до 65000. Сохраняем значение. Выбранный номер порта — себе записываем — внешний доступ будем осуществлять теперь через него (ну или давать внешний доступ знакомым, которые дистанционно помогают Вас с проблемами машины). А вот хакерам Вы существенно усложните жизнь, скрыв порт от «массового сканирования» и сэкономив трафик, который мог тратится на попытки атак против Вашей машины по этому порту. Осталось перезагрузить комп.
PS В случае изменения порта RDP на нестандартный, не забудьте «разрешить» этот порт «на вход» в брендмауере Windows. Процедура аналогична процедуре «блокирования порта 3389», описанной выше, только прописываете свой порт, кторый выбрали, и вместо «блокировать», выбераете разрешить.