MegaLab.it

Da sempre zone alarm mi dice che molti programmi, chi con il vero nome chi sotto svchost.exe, vogliono connettersi, usando le porte più svariate o al router, o all'altro computer connesso al medesimo router (non ho una LAN), o all'IP 0.0.0.0. Qualcuno può dirmi il perché? Che interesse ha un programma a connettersi al router? E ad un altro PC? Che IP è 0.0.0.0? Che interesse può avere un qualsiasi programma a connettervisi?
Grazie a tutti.

dipende dal programma..alcuni tendono ad agire sulla "rete casalinga"..
per l'IP 0.0.0.0 a mio avviso dovresti andare a dare un'occhiata nella pagina web di configurazione del tuo router per eventuali problemi (se riscontri anche bassa connettività o cose simili), o potrebbero anche essere dei processi dannosi che si nascondo sotto nomi simili a quelli riconosciuti come affidabili http://www.MegaLab.it/2288/windows-xp-i ... ina-pulita

Roberto88 ha scritto:dipende dal programma..

Safari, Firefox, svchost.exe sono i più frequenti, ma anche molti altri come adobe, archsoft, ati radeon, avira.

Roberto88 ha scritto:alcuni tendono ad agire sulla "rete casalinga"..

Ma io, dal mio PC, non vedo l'altro.

Roberto88 ha scritto:per l'IP 0.0.0.0 a mio avviso dovresti andare a dare un'occhiata nella pagina web di configurazione del tuo router per eventuali problemi

Tutto perfettamente funzionante.

Roberto88 ha scritto:o potrebbero anche essere dei processi dannosi che si nascondo sotto nomi simili a quelli riconosciuti come affidabili

Il mio PC dovrebbe essere pulito.

Nessuna risposta.
Ricapitolo e redigo alcune cose:
Gli IP in questione sono il famoso 0.0.0.0, l'indirizzo dell'altro PC che si collega al router della Telecom (192.168.1.52), 127.0.0.1, il router della Telecom (192.168.1.1) e l'indirizzo del computer (questo) con il "problema" nella sottorete del router (192.168.1.178).
Questo è uno dei tanti avvisi di ZA:

E venendo alle domande: che indirizzo è 0.0.0.0? Perché un processo che passa sotto svchost dovrebbe connettersi al localhost, a questo stesso pc (in maniera diversa che usando il localhost 127.0.0.1), all'altro pc o al router?
Per favore qualcuno/a risponda.

Hai cartelle condivise tra i due computer? A me capita per il semplice fatto che un computer vuole verificare se le cartelle e le risorse condivise sono ancora disponibili.

La questione è un poco complessa e richiederebbe tempo oltre che una certa chiarezza di linguaggio per affrontare l'argomento. Ho però trovato un interessante documento scritto in maniera chiara che, nonostante tratti di malware, potrebbe darti indicazioni su come interpretare i messaggi a volte eccessivamente fiscali (a mio avviso) di ZA e degli HIPS in generale.

Tieni conto che le applicazioni e i servizi che girano nel sistema operativo possono far ricorso a connessioni locali tra processi usando l'indirizzo 127.0.0.1:porta ed un esempio per tutti è messenger live che ne apre parecchie. Puoi usare il comando netstat con il flag per rendere visibili sia protocollo che applicazione attive (mi pare netstat -b -p). Per l'help della riga di comando di windows vale sempre la regola di digitare nome_comando /? e quindi nel tuo caso dovrai scrivere netstat /? e premere invio

L'indirizzo 0.0.0.0 di norma è la convenzione numerica che indica tutta la rete e la si usa per esempio nei file di configurazione di router e firewall tipo i cisco ma anche con il comando route di Windows (è un po che non giocherello con questa roba)

Quello sotto è il link, vedi se ti è utile (non farti ingannare dalla presenza del termine linux poiché parla di WIndows)
http://nicetoad.homelinux.org/fp-conten ... ow-to.html

Ok, chiaro, quindo 0.0.0.0 sarebbe una richiesta d'autorizzazione a tutta la rete, giusto? E poi un'altra cosa: quei messaggi sono riferiti alle connessioni in entrata o in uscita, o ad entrambe? In ogni caso ora leggo la guida che mi hai segnalato. Grazie

P.S.: per ste: no, nessuna sorta di condivisione in rete, eccezione fatta per la stampante che è collegata alla porta usb del router.

Fred ha scritto:E poi un'altra cosa: quei messaggi sono riferiti alle connessioni in entrata o in uscita, o ad entrambe?

Se ti riferisci allo screenshot che hai postato, nel caso specifico è svchost che si mette in ascolto sulla porta 58127 ma non si capisce da quale programma parte in origine la richiesta.
Online Armor Personal Firewall per esempio è più preciso nel fornirti questo tipo di info e onestamente mi sento di consigliartelo al posto di ZA.
Qui puoi verificare gli score raggiunti da vari prodotti free ed a pagamento
http://www.matousec.com/projects/proact ... esults.php

Intendi che OA Personal non mi dice svchost ma il processo che si cela dietro di esso?