无意中在微点的程序进程查看中发现 Thunder 5 连接10000端口外联远地IP，觉得蹊跷，因为10000本地已经被禁...在我电脑上用了ZApro8，早对迅雷做了专家规则
迅雷设置如下：
-----------------------------------------------------
TCP 1024-5000 外联 1024-65535
UDP 1024-5000 外联 1024-65535
BT端口双向TCP1024-65535
BT端口双向UDP1024-65535
拦截其他一切出入
---------------------------------------------------------
根本看不到10000端口的踪影，何来外联
但是在微点中确实看到外联，而且有IP，比较可信
在ZA的日志里看一遍，里面也有10000外联，不过是已经拦截
结果与微点恰好相反
所以怀疑“谁在作假”？
想排除其他因素的干扰于是在虚拟机下坐了如下试验：
虚拟机下安装ZA、迅雷、微点
ZA禁止一切程序联网全部设置为叉
迅雷设置为：



打开迅雷：全部是叉叉的...拒绝一切连网....但还是见鬼般的弹出两个询问框：
第一个询问框是DNS，必须的，第二个是迅雷启动迅雷5也是必须的，很正常，但我还是拒绝了....拒绝了也没用，迅雷依然启动迅雷5





两个询问框都拒绝出现了下面一幕：



迅雷死了... 很正常
看看冰刃：

冰刃中看到迅雷在监听端口...但是没什么....
看看ZA日志：


正常吧...确实迅雷是死了

第二种情况
开启迅雷...同意上面那两个询问框
DNS没什么问题吧只是同意使用svchost.exe解释DNS而已吧...svchost.exe我也是禁止的....第二同意迅雷启动迅雷5
迅雷跟迅雷5一样同上面设置无差别，专家规则也一样全部拦截
就因为这样有了如下可观的变化：

微点中我们看到：

怎么样...多吧...53的我们忽略不计...看蓝色那一条....

看一下ZA日志：



也是分可观吧...蓝色那一条...看到没...与微点中的矛盾吧
既然已经禁止所有端口
但是迅雷还是不安分...问一下迅雷到底想干什么...我也不知道

而且每一次都是连上面那一个IP，重庆的...我的主机迅雷是这样，虚拟机里也一样？难道迅雷是一木马
如果真的有像迅雷这样一种木马，有什么墙能防住？确实让人冒冷汗

还有ZA，怎么ZA日志跟微点看到的就不一样...迅雷已经禁止了还可以联通外网IP，微点有IP地址作证...ZA日志显示已阻止，ZA日志是否可信

大家讨论一下...看看有没有结果

国内软件大部分都是这样的啊

你用JETICO看看QQ也是有不明现象的，习惯了

这个貌似没冲突啊，ZA和微点所处层次不一样。ZA是Hook底层网络驱动的。微点在上层。他认为迅雷5出站，但已经被ZA在底层拦截了。你可以看看开和不开ZA网络上传流量是不是有明显差别就知道ZA是不是有用了。

引用:

原帖由 eyesineyes 于 2008-10-11 23:17 发表
这个貌似没冲突啊，ZA和微点所处层次不一样。ZA是Hook底层网络驱动的。微点在上层。他认为迅雷5出站，但已经被ZA在底层拦截了。你可以看看开和不开ZA网络上传流量是不是有明显差别就知道ZA是不是有用了。

这个我想过...就算层次不同...如果ZA比较底层的话，微点会最多以为迅雷联出，提示迅雷外联，至于外联什么那就不清楚了，但微点也提示迅雷联某一外网IP，这就怪了，应该是存在某种联系才会把本地端口跟远地IP关系起来的吧，确实ZA可以阻止迅雷下载...但就是阻止不了上面我所说的那一个IP地址...其他ip都阻断了...就重庆那个IP不行...等我把他设成专家规则的黑名单再看看...

引用:

原帖由 stchcbs 于 2008-10-11 23:36 发表

这个我想过...就算层次不同...如果ZA比较底层的话，微点会最多以为迅雷联出，提示迅雷外联，至于外联什么那就不清楚了，但微点也提示迅雷联某一外网IP，这就怪了，应该是存在某种联系才会把本地端口跟远地IP关系起 ...

昏倒，socket编程IP是需要指定的啊，否则你发个数据包谁知道目的地？！
至于为什么只连接这个IP，这个IP的获得有多种途径。你上面允许DNS查询，那么迅雷当然可以解析某个域名获得IP，然后企图连接。

[ 本帖最后由 eyesineyes 于 2008-10-12 10:47 编辑 ]

引用:

原帖由 eyesineyes 于 2008-10-11 23:39 发表


昏倒，socket编程IP是需要指定的啊，否则你发个数据包谁知道目的地？！
至于为什么只连接这个IP，这个IP的获得有多种途径。你上面允许DNS查询，那么迅雷当然可以解析某个域名的IP，然后企图连接。

开始有点明白了
要说明的是连接这Ip跟DNS是无关的...使用的端口根本就不是dns的，
你的意思是说
...迅雷UDP外联的这个IP是迅雷本身内定的...所以防火墙及端口查看等能看到该IP...这个连接不一定要有数据的传输...这样应该可以放心了

引用:

原帖由 stchcbs 于 2008-10-11 23:54 发表


开始有点明白了
要说明的是连接这Ip跟DNS是无关的...使用的端口根本就不是dns的，
你的意思是说
...迅雷UDP外联的这个IP是迅雷本身内定的...所以防火墙及端口查看等能看到该IP...这个连接不一定要有数据的传输 ...

首先，我上面只是举的一个获得IP的方法而已，获得IP方法很多，通过DNS动态解析，通过软件内部写死，通过配置文件.....但是你说的“.使用的端口根本就不是dns的”根本不能作为论据。DNS是域名解析服务器，你提交给他一个域名他给你解析一个IP地址。想你上面禁止DNS请求后没有这个IP的连接，而允许了DNS请求后，迅雷就有这个IP的连接拦截记录。那么这个IP你不能排除是迅雷从DNS那里获得的被解析出来的IP地址。跟我说的那个例子根本就不矛盾。但是至于你这个例子中的IP是不是有问题，就无从考证了。

建议去google一下TCP/IP和DNS原理，对于更好的使用防火墙大有裨益。

[ 本帖最后由 eyesineyes 于 2008-10-12 10:48 编辑 ]

stchcbs&eyesineyes两位都是高手，装备就可见一斑。。。说的东西我一点都不懂，看来是恶补一下的时候了。。。

引用:

原帖由 stchcbs 于 2008-10-11 22:36 发表
打开迅雷：全部是叉叉的...拒绝一切连网....但还是见鬼般的弹出两个询问框：
第一个询问框是DNS，必须的，第二个是迅雷启动迅雷5也是必须的，很正常，但我还是拒绝了....拒绝了也没用，迅雷依然启动迅雷5

stchcbs你好：

看了za弹窗发现有个概念问题你没有搞清楚，如“第二个是迅雷启动迅雷5”

主要需要搞清楚的是“执行权限”和“联网权限”，两者是有区别的。

从za弹窗看，za要控制的是迅雷启动迅雷5联网，那么可以肯定的是，执行权限za根据默认的规则（你也可以限制的更厉害的）已经允许，所以不管你如何选择，迅雷5都是要启动的。

那么当你禁止的时候，事实上禁止的是迅雷5联网！并不是不让迅雷执行。所以此时的迅雷5应该是没有数据传输的。

反之，当你允许迅雷5联网的时候，那么就出现了问题：根据“程序控制规则”和“防火墙专家规则”优先级相同，“禁止优先”的原则，应该是没有数据传输的，就是说你设置的规则应该是优先级最高的，所以即使看到连接，实际上也应该没有数据传输，你可以下载看看实际情况到底如何。