[Resolu] IE ouvre un port UDP et Firefox un port TCP...kesako ?

IE ouvre un port UDP et Firefox un port TCP...kesako ? [Resolu] - Win NT/2K/XP - Windows & Software

Marsh Posté le 10-01-2005 à 10:57:01    

Salut a tous,
 
Avant toute chose, mon environnement:
OS = Win2000 SP4
Kerio 2.5.1 + Avast 4.1
IE 6.0 SP1
Firefox 1.0
 
Le probleme:
J'ai cru avoir la berlue hier soir en essayant de configurer mon firewall Kerio de maniere la plus restrictive possible. En effet, j'ai decouvert des comportements plus qu'etrange avec IE puis avec Firefox.
Je monitore les ports ouverts et les connexions avec le freeware TCPView (equivalent graphique de "netstat -n", avec information sur le process en plus).
 
1. IE
En ouvrant IE avec une page blanche (about:blank), rien de particulier ne se passe. Par contre, des que je me connecte a un site quelconque, Kerio m'alerte que IE tente d'envoyer un paquet UDP en local sur un port >1024. Dans TCPView, je vois bien la connexion au site distant sur le port 80 (normal), mais surtout, IE a ouvert un port UDP en "LISTEN". La connexion HTTP fini par mourrir (normal aussi) par contre, il reste ce maudit port UDP en listen (facon de parler pour de l'UDP bien sur) binder sur mon interface de loopback.
Je n'ai trouve aucune explication sur Google, hormis ca:  
http://ntsecurity.nu/toolbox/inzider/why.php
 
Si avec Kerio je "Deny" cette communication UDP, IE fonctionne de maniere tres lente (comme s'il lui fallait des plombes pour resoudre un nom de domaine comme www.google.com)
 
2. Firefox
Alors avec Firefox, c'est encore un peu different. Ma page par defaut est aussi about:blank. La par contre, des que je lance Firefox, sans meme avoir de connexion vers un site distant, Kerio m'alerte que Firefox se connecte en local sur un port TCP >1024 qu'il a lui meme ouvert ! TCPView confirme: Firefox a un port binde en local en LISTENING et il est lui meme connecte a ce port, localement. C'est quoi ce merdier ??
 
D'autant que si, avec Kerio, je "Deny" cette connection, Firefox marche tres bien malgre tout.
La par contre je n'ai rien trouve sur google concernant cette ouverture de port en local par firefox.
 
Merci d'eclairer ma lanterne (on en apprend tous les jours...)


Message édité par Arno_ le 10-01-2005 à 14:00:30
Reply

Marsh Posté le 10-01-2005 à 10:57:01   

Reply

Marsh Posté le 10-01-2005 à 11:20:23    

je voit pas trop le pb si ce sont des ports local ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 10-01-2005 à 11:29:01    

C'est juste que j'aimerais comprendre.
Pour moi un browser (que ce soit IE ou Firefox), s'il est connecte en direct (cad: sans proxy), ne doit faire des connexions que vers des serveurs externes sur le port 80 ou 443.
 
Le reste des communications me pose un probleme de comprehension, pas de securite ;)
J'aime comprendre pourquoi des softs ouvrent des ports et pourquoi faire... Ca m'aidera a savoir si je dois autoriser ces communications ou les bloquer (meme si c'est en local)


Message édité par Arno_ le 10-01-2005 à 11:29:25
Reply

Marsh Posté le 10-01-2005 à 11:48:12    

ce serait pas une communication vers le système de résolution des noms ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 10-01-2005 à 11:52:52    

MJules> Concernant IE: non, IE s'envoie des paquets UDP a lui meme sur un port qu'il a lui meme ouvert localement... je trouve ca carrement etrange.
 
Concernant Firefox: ben pareil, il se connecte a lui meme a un port TCP qu'il a lui meme ouvert...etrange aussi.

Reply

Marsh Posté le 10-01-2005 à 12:05:23    

c'es bizarre, parce que sous linux, Moz/FF n'ouvre aucun port


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 10-01-2005 à 13:23:19    

Salut,
 
Tu es sur que ce n'est pas simplement le port de réception ?

Reply

Marsh Posté le 10-01-2005 à 13:26:18    

Gaard28: Port de reception de quoi ? Quand je lance Firefox, il n'est encore connecte a aucun serveur HTTP. Il se connecte juste a lui-meme via un port local TCP... ce que je trouve aberrant.
 
Concernant IE: j'ai trouve sur Google plusieurs forums parlant vaguement du fait qu'IE ouvre un port local en UDP, mais personne n'explique a quoi ca sert. C'est quand meme dingue que personne ne se soit jamais pose la question.

Reply

Marsh Posté le 10-01-2005 à 13:34:55    

Ben quand 2 machines communiquent elles ont toutes les 2 un port de communication. Dans ton cas, c'est le 80 pour le serveur web et un num > 1024 pour ta machine.

Reply

Marsh Posté le 10-01-2005 à 13:53:43    

Gaard28: ;) Merci, je connais assez bien mes bases TCP/IP. Ce que j'explique c'est que justement il n'y a AUCUNE communication avec un quelconque serveur. Ce que je decris ici c'est une communication "intra" Firefox des le demarrage de l'application. Quiconque peut le constater sous Windows avec un logiciel comme TCPView.
 
Cela etant, concernant FIREFOX, je viens de trouver pourquoi:
L'explication se trouve ici: http://forums.mozillazine.org/view [...] 15&start=0
 
Pour les flemmards, voici l'explication:

Citation :

This is normal. It has to do with the fact that Windows lacks support for AF_UNIX domain sockets. We instead use a loopback TCP socket pair.


 
En clair, Firefox utilise une communication via socket locales, uniquement sous Windows, pour faire de la communication inter-process, car les sockets de type AF_UNIX n'existent pas sous Windows. Un peu plus loin on peut lire que Firefox peut fonctionner sans cette communication (ce que j'ai effectivement constate en bloquant la comm avec Kerio) mais les developpeurs expliquent que cela peut nuire aux performances.
 
Concernant IE:
Le meme mecanisme semble etre utilise par IE, mais via une communication UDP.
 
Je trouve incroyable que personne ne se soit jamais pose la question sur ces deux applications ouvrant des ports localement, simplement pour etre un agent HTTP. Une fois qu'on a l'explication on se sent mieux quand meme ;)  
 
(je suis un acharne, je VEUX comprendre ce qui se passe sur ma machine. Selon moi, c'est meme indispensable de comprendre TOUS les flux de commnunication, fussent-ils locaux, quand on pretend faire de la securite system, c'est comme ca qu'on trouve des failles ou des spywares etc...)

Reply

Marsh Posté le 10-01-2005 à 13:53:43   

Reply

Marsh Posté le 10-01-2005 à 14:26:42    

tu serais pas le genre d'admin à écrouler un réseau juste pour capturer des trames histoire de savoir ski se passe dedans ? :o

Reply

Marsh Posté le 10-01-2005 à 14:31:03    

Tu crois pas si bien dire :) Mon meilleur ami se nomme Packetyser et c'est le seul outil ouvert en permanence du Lundi matin au Vendredi soir :)
 
En meme temps, c'est mon boulot de faire du reverse engineering sur des protocoles proprietaires (ceux de ma propre boite, mais fait ailleurs, oui oui, c'est hallucinant)

Reply

Marsh Posté le 10-01-2005 à 22:42:46    

j'le savais, c un fou ce gars là :o ;)

Reply

Marsh Posté le 31-12-2008 à 10:23:27    

Arno_ a écrit :

Gaard28: ;) Merci, je connais assez bien mes bases TCP/IP. Ce que j'explique c'est que justement il n'y a AUCUNE communication avec un quelconque serveur. Ce que je decris ici c'est une communication "intra" Firefox des le demarrage de l'application. Quiconque peut le constater sous Windows avec un logiciel comme TCPView.
 
Cela etant, concernant FIREFOX, je viens de trouver pourquoi:
L'explication se trouve ici: http://forums.mozillazine.org/view [...] 15&start=0
 
Pour les flemmards, voici l'explication:

Citation :

This is normal. It has to do with the fact that Windows lacks support for AF_UNIX domain sockets. We instead use a loopback TCP socket pair.


 
En clair, Firefox utilise une communication via socket locales, uniquement sous Windows, pour faire de la communication inter-process, car les sockets de type AF_UNIX n'existent pas sous Windows. Un peu plus loin on peut lire que Firefox peut fonctionner sans cette communication (ce que j'ai effectivement constate en bloquant la comm avec Kerio) mais les developpeurs expliquent que cela peut nuire aux performances.
 
Concernant IE:
Le meme mecanisme semble etre utilise par IE, mais via une communication UDP.
 
Je trouve incroyable que personne ne se soit jamais pose la question sur ces deux applications ouvrant des ports localement, simplement pour etre un agent HTTP. Une fois qu'on a l'explication on se sent mieux quand meme ;)  
 
(je suis un acharne, je VEUX comprendre ce qui se passe sur ma machine. Selon moi, c'est meme indispensable de comprendre TOUS les flux de commnunication, fussent-ils locaux, quand on pretend faire de la securite system, c'est comme ca qu'on trouve des failles ou des spywares etc...)


[:bien] merci pour l'explication et le lien.
car ce crétin utilise parfois un port (1099) dont j'ai besoin pour une autre appli


---------------
trainoo.com, c'est fini
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed