微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 防火墙 » 微点防火墙的异常网络访问里面的远程IP怎么几乎都是我的DNS服务器?  

作者:
标题: 微点防火墙的异常网络访问里面的远程IP怎么几乎都是我的DNS服务器?
sbiu
新手上路





积分 9
发帖 9
注册 2009-2-19
#1  微点防火墙的异常网络访问里面的远程IP怎么几乎都是我的DNS服务器?

每当我的新程序需要连接网络时候,微点防火墙都会询问,这个当然是好事,但是每次都说我的程序访问的远端IP都是61.139.2.69,202.98.96.68这个2个DNS服务器,我想你访问DNS有什么大不了的,就都放行了。
后来想想不对,这些程序有些是登陆其他网站的登陆工具,它跑去连接DNS干什么,怎么微点都提醒的是访问DNS服务器呢?这些程序连接其他IP地址的时候怎么不提醒?
时间        进程名        路径及参数        源IP        源端口        目的IP        目的端口        操作
2009-03-08 02:00:02        WISMENCODER.EXE        D:\PROGRAM FILES\WISMENCODER\WISMENCODER.EXE        0.0.0.0        52329        61.139.2.69        53        永远放行
2009-03-08 00:47:12        WOWMODELVIEWER.EXE        E:\TDDOWNLOAD\SOFTWARE\WOWMODELVIEWER_0.6.0.3_WIN32_RELEASE\WOWMODELVIEWER.EXE        0.0.0.0        55265        61.139.2.69        53        永远放行
2009-03-07 23:19:03        好易网视.EXE        E:\HAOETV\好易网视.EXE        0.0.0.0        56710        61.139.2.69        53        永远放行
2009-03-07 23:09:01        好易网视.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX04.406\HAOETV\好易网视.EXE        0.0.0.0        64073        61.139.2.69        53        永远放行
2009-03-06 23:07:30        GREENBROWSERUPDATE.EXE        D:\PROGRAM FILES\GREENBROWSER\RESOURCE\GREENBROWSERUPDATE.EXE        0.0.0.0        60279        61.139.2.69        53        永远放行
2009-03-05 22:49:37        MX_2.5.2.2801CN.EXE        E:\MX_2.5.2.2801CN.EXE        0.0.0.0        50307        61.139.2.69        53        永远放行
2009-03-05 15:51:53        WOPTIUTILITIES.EXE        E:\GF\WOW\SOFT\WOPTI(GR)-090303\WOPTI(GR)-090303\WOPTIUTILITIES.EXE        0.0.0.0        54873        61.139.2.69        53        永远放行
2009-03-05 13:46:41        CONFIG.EXE        D:\PROGRAM FILES\QQ2009\BIN\CYBOQQ\CONFIG.EXE        0.0.0.0        3048        114.80.100.14        5123        永远放行
2009-03-04 23:43:20        SHOWIP.EXE        D:\PROGRAM FILES\QQ2009\BIN\CYBOQQ\SHOWIP.EXE        0.0.0.0        60127        61.139.2.69        53        永远放行
2009-03-04 22:46:23        ALICALLLIVEUPDATE.EXE        D:\PROGRAM FILES\ALICALLV3.0\ALICALLLIVEUPDATE.EXE        0.0.0.0        55179        61.139.2.69        53        永远放行
2009-03-04 22:46:17        ALICALL.EXE        D:\PROGRAM FILES\ALICALLV3.0\ALICALL.EXE        0.0.0.0        57200        61.139.2.69        53        永远放行
2009-02-26 16:02:21        FOXIT READER.EXE        E:\FOXITREADER30_ENU\FOXIT READER.EXE        0.0.0.0        59853        61.139.2.69        53        永远放行
2009-02-26 15:46:07        SRDRIVER[1].EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\GAK15LUC\SRDRIVER[1].EXE        0.0.0.0        51457        61.139.2.69        53        永远放行
2009-02-26 15:39:40        SRSI_79047.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.250\SRSI_79047.EXE        0.0.0.0        58276        61.139.2.69        53        永远放行
2009-02-26 14:54:16        SHOWIP.EXE        E:\QQWRY\SHOWIP.EXE        0.0.0.0        54655        61.139.2.69        53        永远放行
2009-02-25 17:39:05        TBBROWSER.EXE        D:\PROGRAM FILES\依Q屋淘宝专用浏览器\TBBROWSER.EXE        0.0.0.0        49894        61.139.2.69        53        永远放行
2009-02-25 16:17:35        SHOP_TAOEDITUP.EXE        D:\PROGRAM FILES\SHOP_TAOEDITUP\SHOP_TAOEDITUP.EXE        0.0.0.0        52014        61.139.2.69        53        永远放行
2009-02-25 16:13:28        宝贝批量下架和删除专家.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.922\宝贝批量下架和删除专家\宝贝批量下架和删除专家.EXE        0.0.0.0        51360        61.139.2.69        53        永远放行
2009-02-25 13:51:04        IOBIT SMARTDEFRAG.EXE        D:\PROGRAM FILES\IOBIT SMARTDEFRAG\IOBIT SMARTDEFRAG.EXE        0.0.0.0        52062        61.139.2.69        53        永远放行
2009-02-24 15:19:27        EIDOLON.EXE        D:\PROGRAM FILES\淘宝精灵\BIN\EIDOLON.EXE        0.0.0.0        63834        61.139.2.69        53        永远放行
2009-02-24 01:52:11        CSNAS.EXE        D:\PROGRAM FILES\COLASOFT CSNAS 6.9 CCE\CSNAS.EXE        0.0.0.0        52038        61.139.2.69        53        永远放行
2009-02-23 18:16:54        PROCMON.EXE        E:\注册表监视器161E5\PROCMON.EXE        0.0.0.0        59921        61.139.2.69        53        永远放行
2009-02-23 18:16:00        PROCMON.EXE        E:\PROCMON.EXE        0.0.0.0        55337        61.139.2.69        53        永远放行
2009-02-23 17:56:29        RAYSOURCE.EXE        D:\PROGRAM FILES\RAYSOURCE\RAYSOURCE.EXE        0.0.0.0        57826        61.139.2.69        53        永远放行
2009-02-23 17:33:08        DREAMWEAVER.EXE        D:\PROGRAM FILES\ADOBE DREAMWEAVER CS4\DREAMWEAVER.EXE        0.0.0.0        62152        61.139.2.69        53        永远放行
2009-02-23 16:54:58        ASSISTANTGUI.EXE        D:\PROGRAM FILES\淘宝助理\ASSISTANTGUI.EXE        0.0.0.0        65057        61.139.2.69        53        永远放行
2009-02-23 16:51:00        PROCEXP.EXE        D:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE        0.0.0.0        56760        61.139.2.69        53        永远放行
2009-02-24 01:43:47        DUMETER.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.937\DUMETER.EXE        0.0.0.0        59566        61.139.2.69        53        永远禁止
2009-03-07 23:08:56        好易网视.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX04.406\HAOETV\好易网视.EXE        0.0.0.0        61726        61.139.2.69        53        暂时放行
2009-03-07 23:08:46        好易网视.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX04.406\HAOETV\好易网视.EXE        0.0.0.0        64072        61.139.2.69        53        暂时放行
2009-03-05 15:51:44        WOPTIUTILITIES.EXE        E:\GF\WOW\SOFT\WOPTI(GR)-090303\WOPTI(GR)-090303\WOPTIUTILITIES.EXE        0.0.0.0        54682        61.139.2.69        53        暂时放行
2009-03-05 13:46:38        CONFIG.EXE        D:\PROGRAM FILES\QQ2009\BIN\CYBOQQ\CONFIG.EXE        0.0.0.0        53089        61.139.2.69        53        暂时放行
2009-02-26 15:39:36        SRSI_79047.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.250\SRSI_79047.EXE        0.0.0.0        64161        61.139.2.69        53        暂时放行
2009-02-26 01:50:37        小红伞离线包下载器.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX03.172\小红伞离线包下载器.EXE        0.0.0.0        60704        61.139.2.69        53        暂时放行
2009-02-26 01:50:28        小红伞离线包下载器.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX05.187\小红伞离线包下载器.EXE        0.0.0.0        55610        61.139.2.69        53        暂时放行
2009-02-26 01:50:09        小红伞离线包下载器.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX03.172\小红伞离线包下载器.EXE        0.0.0.0        54048        61.139.2.69        53        暂时放行
2009-02-26 01:49:38        小红伞离线包下载器.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.094\小红伞离线包下载器.EXE        0.0.0.0        59642        61.139.2.69        53        暂时放行
2009-02-25 18:32:45        UPDATE.EXE        D:\PROGRAM FILES\依Q屋淘宝专用浏览器\UPDATE.EXE        0.0.0.0        57170        61.139.2.69        53        暂时放行
2009-02-25 16:13:24        宝贝批量下架和删除专家.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.922\宝贝批量下架和删除专家\宝贝批量下架和删除专家.EXE        0.0.0.0        60331        61.139.2.69        53        暂时放行
2009-02-25 03:42:17        IOBIT SMARTDEFRAG.EXE        D:\PROGRAM FILES\IOBIT SMARTDEFRAG\IOBIT SMARTDEFRAG.EXE        0.0.0.0        51185        61.139.2.69        53        暂时放行
2009-02-24 01:52:05        CSNAS.EXE        D:\PROGRAM FILES\COLASOFT CSNAS 6.9 CCE\CSNAS.EXE        0.0.0.0        59199        61.139.2.69        53        暂时放行
2009-02-24 01:51:55        CSNAS.EXE        D:\PROGRAM FILES\COLASOFT CSNAS 6.9 CCE\CSNAS.EXE        0.0.0.0        4260        222.73.10.102        443        暂时放行
2009-02-24 01:51:51        CSNAS.EXE        D:\PROGRAM FILES\COLASOFT CSNAS 6.9 CCE\CSNAS.EXE        0.0.0.0        56344        202.98.96.68        53        暂时放行
2009-02-24 01:51:47        CSNAS.EXE        D:\PROGRAM FILES\COLASOFT CSNAS 6.9 CCE\CSNAS.EXE        0.0.0.0        56344        61.139.2.69        53        暂时放行
2009-02-23 16:20:40        PROCEXP.EXE        D:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE        0.0.0.0        57142        61.139.2.69        53        暂时放行
2009-02-23 16:20:33        PROCEXP.EXE        D:\PROGRAM FILES\PROCESS EXPLORER\PROCEXP.EXE        0.0.0.0        58689        61.139.2.69        53        暂时放行
2009-03-04 23:11:13        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        202.98.96.68        53        暂时禁止
2009-03-04 23:11:11        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        61.139.2.69        53        暂时禁止
2009-03-04 23:11:00        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        202.98.96.68        53        暂时禁止
2009-03-04 23:10:33        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        61.139.2.69        53        暂时禁止
2009-03-04 23:10:27        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        61.139.2.69        53        暂时禁止
2009-03-04 23:10:23        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        202.98.96.68        53        暂时禁止
2009-03-04 23:10:17        WWXIP.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.078\WWXIP\WWXIP.EXE        0.0.0.0        53806        61.139.2.69        53        暂时禁止
2009-02-24 01:43:43        DUMETER.EXE        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\RAR$EX00.937\DUMETER.EXE        0.0.0.0        51992        61.139.2.69        53        暂时禁止
这个情况麻烦微点的技术人员告诉我是怎么回事么?
就是每次弹窗提醒都是DNS服务器,进程网络信息里面的远端IP都是正常的。
这个问题能解决下么?我的程序访问网络的时候能正确的告诉我它将要访问的IP是什么,而不是告诉我的DNS是多少?

※ ※ ※ 本文纯属【sbiu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-8 21:45
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

您好,您是不是关掉智能识别了呢?(打开微点主界面>安全防护与策略>程序访问网络策略>智能识别有没有勾上?没勾上的话就是关了)。
被报警的这些程序是不是在其它软件里?(打开微点主界面>系统分析>进程综合信息>当前进程>其他软件)。
另外,若程序是通过网址进行访问的话,是必须链接DNS将网址解析成IP地址的。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-3-8 22:13
查看资料  发短消息   编辑帖子
sbiu
新手上路





积分 9
发帖 9
注册 2009-2-19
#3  



  Quote:
Originally posted by Legend at 2009-3-8 22:13:
您好,您是不是关掉智能识别了呢?(打开微点主界面>安全防护与策略>程序访问网络策略>智能识别有没有勾上?没勾上的话就是关了)。
被报警的这些程序是不是在其它软件里?(打开微点主界面>系统分析 ...

1.智能识别前面的框里的勾是勾上的,我刚刚检查了;
2.关于其他软件我知道应该是不在你们白名单里面吧,我没说你们的白名单太小了,这个完全是正常的,这个你们的提醒有程序连接网络的弹出窗口很对,我没觉得繁琐,我在意的是这些程序访问其他网络地址时,确实要先向DNS查询IP先,但是你们能不能不要告诉我我的DNSIP,这个我自己都知道不需要你们告诉我。应该告诉我的是我的程序向DNS查询的地址,或者说是将要访问的地址好么?

万一是个木马,他也肯定要先查询DNS先的,微点告诉我他访问的是DNS,我肯定就让它访问了,这个连接对我完全没有丝毫影响,除非DNS本身就是木马信息接收的中转站,但是这个是不可能的啊。
我同意他访问DNS了,微点也就当我同意他访问所有网络了,那这个木马就完全自由了。这个防火墙相当于完全透明了,我还要它干什么?

※ ※ ※ 本文纯属【sbiu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-8 22:30
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

对于其它软件里的程序要访问网络,微点是会这样有提示的,您若能自行确认程序是安全的话,手工将它们加入到程序访问网络策略里就可以了。同时,我们希望您能协助我们,把您那里的这些程序都复制压缩后发送到support@micropoint.com.cn我们帮您分析处理。

微点防火墙检测的是网络数据的源地址、源端口、目的地址、目的端口,具体程序要访问哪里,这个应算做应用程序层面上的事了,所以微点在这里直接报出的是程序要连接的地址是正常的。

您不必有这种担心:)微点的防火墙并不是像您理解的这样您点击同意后后续的网络访问行为都放行,而是仅放行提示里显示的这一个网络访问行为,若后续继续有异常的网络访问行为或有害行为,微点仍然会拦截网络访问或报警查杀的。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-3-8 22:49
查看资料  发短消息   编辑帖子
sbiu
新手上路





积分 9
发帖 9
注册 2009-2-19
#5  



  Quote:
Originally posted by Legend at 2009-3-8 22:49:
对于其它软件里的程序要访问网络,微点是会这样有提示的,您若能自行确认程序是安全的话,手工将它们加入到程序访问网络策略里就可以了。同时,我们希望您能协助我们,把您那里的这些程序都复制压缩后发送到[emai ...

我因为比较好奇新的软件,所以经常下些很多新软件测试体验下,其中确实有些含有病毒,但是都被我的红伞+微点配合检测出来杀掉了。但是总有可能有红伞+微点也检测不出的木马存在的,这个是谁都不能否认的。这个时候就需要防火墙的拦截了,所以我对手动拦截的要求就高了点。
但是你们的防火墙能智能点么?就算是木马要访问DNS你让他访问就是了,报警干什么(你们的微点号称智能,这个访问应该就让他自动允许了啊)?但是这个提示一出一般都是连续的5条以上,每次都点太烦了,一般我就顺手把询问永远有效勾上了(很多用户都会顺手这样做的),就算问完了DNS,后面访问一摸一样的IP一摸一样的端口,一摸一样协议的提示还有几十条,你们的防火墙能不能智能点,访问同样IP同样端口同样协议的问答就不要再问了呢?不然连神都会把永远有效勾上的。我下的一个网络电视软件提示了上百条,我忍无可忍只能添加到信任程序里了。
这样同样的问题几百个问下来,本来的可疑程序就变成了信任程序。(不可能我们每次都把需要联网的程序都给你们分析吧,就算你们有上万的工程师都不够用的)
还有你们询问IP的时候能不能搭配个比如纯真的IP地址数据库呢,访问远端网络的时候能告诉使用者远端网络地址大概在什么地方,很有助于用户判断可疑程序的。

※ ※ ※ 本文纯属【sbiu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-3-8 23:30
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

楼主所提到的网络电视软件,请您提供下载地址,我们好模拟测试一下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-3-13 12:51
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#7  

由于没有收到楼主进一步的反馈信息,本主题暂作关闭处理,如有问题,请另开新帖讨论。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2009-3-16 16:38
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号