[XP] Service Pack 2 tcpip.sys patchen nodig of niet? - Windows clients

maandag 7 februari 2005 21:27

Acties:

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Iedereen heeft er vast van gehoord. Het patchen van tcpip.sys om het mogelijk te maken een groter aantal half open sessies te gebruiken op Windows XP met SP2. Her en der kom ik verschillende ervaringen tegen. Ten eerste: helpt het patchen uberhaubt? Ten tweede: hoe op een veilige manier te patchen? Installeer ik geen backdoors of andere malware met de patches mee?

Hebben jullie tcpip.sys gepatched en hoe zijn de ervaringen? Welke patch is aan te raden en is veilig voor gebruik?

Poll: TCPIP.sys gepatched?
• Jazeker! Patching helpt!
• Jazeker! Maar het helpt niet
• TCPIP.sys patching?
• Nee, patching helpt toch niet
Afbeeldingslocatie: http://poll.dezeserver.nl/results.cgi?pid=41428&layout=2&sort=prc

Afbeeldingslocatie: http://poll.dezeserver.nl/results.cgi?pid=41428&layout=2&sort=prc

^{Ook een poll maken? Klik hier}

Voor de mensen die niet weten waar ik het over heb: een stuk van speedguide.net

Windws XP SP2 introduces a few new twists to TCP/IP in order to babysit users and "reduce the threat" of worms spreading fast without control. In one such attempt, the devs seem to have limited the number of possible TCP connection attempts per second to 10 (from unlimited in SP1). This argumentative feature can possibly affect server and P2P programs that need to open many outbound connections at the same time.

Rant: The forward thinking of Microsoft developers here is that you can only infect 10 new systems per second via TCP/IP ?!?... Keep in mind that would still make 10^60 in a single minute, (that's 10 with 60 trailing zeros...) if everyone already infected also infects 10 new computers per second. In other words, even though it is not going to stop worm spreading, it's going to delay it a few seconds, limit possible network congestion a bit, and limit the use of your PC to 10 connection attempts per second in the process ! I have no problem with the new default setting limiting outbound connection attempts. Still, users should have the option to easily disable or change this setting. I might be going out on a limb here, but ever since the introduction of Windows XP I can't help thinking that I dislike all the bult-in Windows "wisardry" in a sense that the system also limits user access. That irritating trend to ease the mental load on end users is somewhat insulting, considering that Windows is to make the more "intelligent" choice instead of the end user, as well as limit their access to tuning such settings...
End of rant.

With the new implementation, if a P2P or some other network program attempts to connect to 100 sites at once, it would only be able to connect to 10 per second, so it would take it 10 seconds to reach all 100. In addition, even though the setting was registry editable in XP SP1, it is now only possible to edit by changing it directly in the system file tcpip.sys. To make matters worse, that file is in use, so you also need to be in Safe mode in order to edit it.

You only need to worry about the number of connection attempts per second if you have noticed a slowdown in network programs requiring a number of connections opened at once. You can check if you're hitting this limit from the Event Viewer, under System - look for TCP/IP Warnings saying: "TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts". Keep in mind this is a cap only on incomplete outbound connect attempts per second, not total connections. Still, running servers and P2P programs can definitely be affected by this new limitation. Use the fix as you see fit.

Wat wil ik met dit topic bereiken?
Er zijn hier op GoT al meerdere topics over het patchen van tcpip.sys geweest. Deze stammen helaas vrijwel allemaal uit de tijd rond de release van SP2. Nu we een eind (in tijd) verder zijn hebben we wellicht nieuwe inzichten verkregen met betrekking tot het fenomeen tcpip.sys patching. Helpt het nu wel of niet? Zijn er andere manieren om het zelfde resultaat te bereiken? Welke patches zijn wel of niet aan te raden? Wellicht komen we tot een leuk stukje voor een faq ofzo.

[ Voor 61% gewijzigd door Bor op 07-02-2005 21:38 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 7 februari 2005 21:48

Acties:

0xDEADBEEF

@ Bor: Veel info in je TS; maar ik vul je toch gedeeltelijk aan

:

De patcher:

link naar de patch

Needed things:
- Windows XP SP2 (from RC2 upwards) or Windows 2003 Server SP1 beta
- patcher
- a small amount of time
What's been done:
To say it easy: the before 10 half-open connections are beeing increased to 50 (can be changed during runtime and with the parameter /L) and the CRC is been corrected. And that's it!

Comment:
The method described here, should only be used by users, who know how to handle all the described. With the download of the here published program the user know, that changes are made on third party files. For damages in every kind I cannot be hold responsible for. Indeed, tests worked fine here. However, nothing is impossible.
Info: When error occurs, the patcher can change the TCPIP.SYS back to the original!

Instruction:
Just download the patcher and execute it. It will automatically find the windows directory and ask, if it should increase/decrease. For higher values, please check the help with parameter /?.
After a successful patch, the new TCPIP.SYS will be automatically installed. After that, the computer should be restarted.

En dan waar deze draad over gaat: zal vandaag/morgen teschten of het echt nut heeft/merkbaar is.

[ Voor 8% gewijzigd door 0xDEADBEEF op 07-02-2005 21:55 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 7 februari 2005 21:51

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Dat is inderdaad de meest gebruikte patcher, maar de vraag is, werkt het uberhaubt wel?

Half open connecties zijn nog niet volledig opgebouwd. Als het een "alive" host is zal binnen no time de connectie worden opgebouwd. Waarom dan nog het max aantal half open connecties verhogen?

Een sessie verloopt als volgt:

Stap 1: zender stuurt SYN
Stap 2: ontvangen stuurt SYN +ACK
Stap 3: zender stuurt ACK en de verbinding is opgebouwd (3 way handshake).

Een half open sessie ligt dus vast op stap 1 of 2.

[ Voor 31% gewijzigd door Bor op 07-02-2005 21:52 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 7 februari 2005 22:01

Acties:

0xDEADBEEF

With the new implementation, if a P2P or some other network program attempts to connect to 100 sites at once, it would only be able to connect to 10 per second, so it would take it 10 seconds to reach all 100.

10 poorten/connecties per seconde openen is veel ( geen huis-tuin-keuken-gebruik dus ).

Dus opzich heeft het wel nut, het helpt een DoS afremmen ( in theorie, geen ervaring mee ) .

maandag 7 februari 2005 22:10

Acties:

Victor

Ik zou liever zien dat er een patch kwam om het weer mogelijk te maken raw sockets te gebruiken om TCP data te verzenden. Het aantal (half gemaakte) verbindingen per seconde is niet iets waar ik mee kan zitten.

[ Voor 4% gewijzigd door Victor op 07-02-2005 22:13 ]

maandag 7 februari 2005 22:26

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Kun je nou helemaal geen raw sockets meer gebruiken dan? Is dat ook sinds SP2?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 7 februari 2005 22:32

Acties:

Victor

Bor_de_Wollef schreef op maandag 07 februari 2005 @ 22:26:
Kun je nou helemaal geen raw sockets meer gebruiken dan? Is dat ook sinds SP2?

quote: http://www.microsoft.com/...intain/sp2netwk.mspx#EHAA
Restricted traffic over raw sockets

Detailed description
A very small number of Windows applications make use of raw IP sockets, which provide an industry-standard way for applications to create TCP/IP packets with fewer integrity and security checks by the TCP/IP stack. The Windows implementation of TCP/IP still supports receiving traffic on raw IP sockets. However, the ability to send traffic over raw sockets has been restricted in two ways:

• TCP data cannot be sent over raw sockets.
• UDP datagrams with invalid source addresses cannot be sent over raw sockets. The IP source address for any outgoing UDP datagram must exist on a network interface or the datagram is dropped.

maandag 7 februari 2005 23:08

Acties:

elevator

Officieel moto fan :)

De open sockets patch is relatief simpel te testen.

Als je in een batchfiletje een 20 tal connecties opent naar een niet bestaand IP address op je LAN (in mijn geval bv. 10.0.0.140) - en je gebruikt 'netstat -an | findstr 10.0.0.140' - kan je zien hoeveel lingering connecties er nog zijn.

Als je dit doet voor de patch - en je controleert even ofdat je inderdaad meldingen in je eventlog krijgt - en je doet dit na de patch, zal je als het goed is een verschil in aantal moeten zien

King_Louie schreef op maandag 07 februari 2005 @ 22:10:
Ik zou liever zien dat er een patch kwam om het weer mogelijk te maken raw sockets te gebruiken om TCP data te verzenden. Het aantal (half gemaakte) verbindingen per seconde is niet iets waar ik mee kan zitten.

Ik zie persoonlijk niet in waarom je dat nodig zou hebben - op het moment dat je zelf eigen IP pakketjes moet gaan schrijven, zijn er ook nog andere manieren voor, voor zover ik weet (drivers...)

maandag 7 februari 2005 23:25

Acties:

Victor

elevator schreef op maandag 07 februari 2005 @ 23:08:
Ik zie persoonlijk niet in waarom je dat nodig zou hebben - op het moment dat je zelf eigen IP pakketjes moet gaan schrijven, zijn er ook nog andere manieren voor, voor zover ik weet (drivers...)

Ik maak regelmatig gebruik van een aantal security tools (voor legale doeleinden), en een paar hiervan werken niet meer onder SP2. Tools als nmap die nog actief worden geupdate werken inmiddels weer gewoon, maar ik heb ook een aantal tools die wat minder regelmatig bijgewerkt worden. Hiervoor heb ik dan ook een aparte machine die nog onder XP SP1 draait om ze te kunnen gebruiken. Het zou fijn zijn als er een mogelijkheid was om een gebruiker met administrator rechten op de een of andere manier toch raw sockets te laten gebruiken.

Al met al is het niet echt een probleem waar veel mensen mee kunnen zitten, en het is waarschijnlijk het verstandigste om het helemaal dicht te houden. Maar ach, je kan blijven wensen natuurlijk.

dinsdag 8 februari 2005 09:29

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Voor de mensen die stemmen "Jazeker! Patching helpt", waar merk je dit aan? Ik neem aan dat dit alleen bij P2P achtige zaken te merken kan zijn gezien dat een van de weinige toepassingen is die veel half open connecties kan veroorzaken (omdat veel sources gewoon dood zijn op dat ogenblik).

[ Voor 62% gewijzigd door Bor op 08-02-2005 09:30 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 8 februari 2005 22:05

Acties:

dynax

Met Shareaza bv, kon ik voor de patch geen connectie krijgen, helemaal niks.
Na de patch kon ik weer alle 6 gastheren krijgen.

mijn systeem.

donderdag 10 februari 2005 13:50

Acties:

Verwijderd

ik heb die patch dus ook gerunt en nu ff vraagje erover ...
als ik naar Admin..tools / event viewer /system ga geeft hij nu bij event id 4226 (tcp/ip) een warning en ook bij 36 (w32time). Hoort dit zo na het runnen van die patch ??

donderdag 10 februari 2005 13:56

Acties:

roelio

fruitig, en fris.

Patchen helpt? Dat kun je toch alleen zeggen als je vaak de betreffende melding in je EventLog vindt, en na het patchen niet meer?

Simpel, lijkt me.

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

donderdag 10 februari 2005 14:02

Acties:

leuk_he

1. Controleer de kabel!

King_Louie schreef op maandag 07 februari 2005 @ 22:10:
Ik zou liever zien dat er een patch kwam om het weer mogelijk te maken raw sockets te gebruiken om TCP data te verzenden. Het aantal (half gemaakte) verbindingen per seconde is niet iets waar ik mee kan zitten.

Het ontgaat me even waarvoor je het nodig hebt, maar de makers van "nmap" hebben binnen een week na het uitkomen van sp2 een workarround bedacht voor het versturen van raw tcp-ip data.
(door rechtstreeks de frames op ehternet te schrijven ipv raw sockets te gebruiken)
Dus MS heeft hier ook half werk geleverd in dit opzicht. (gibson heeft toch gelijk gekregen over raw sockets)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 10 februari 2005 14:06

Acties:

leuk_he

1. Controleer de kabel!

Bor_de_Wollef schreef op dinsdag 08 februari 2005 @ 09:29:
Voor de mensen die stemmen "Jazeker! Patching helpt", waar merk je dit aan? .

Omdat sommige p2p applicaties (torrent storm b.v.) heel veel connecties tegelijk openen (Heeeeeeeel veel ). Met als gevolg dat de beveiling aanslaat (met melding in eventvwr tot gevolg) waarna internet onbruikbaar is voor de komende 10 minuten. De p2p applicatie gaat er niet beter of slechter van performen, echter je kunt tenminste nog browsen naderhand.

[ Voor 4% gewijzigd door leuk_he op 10-02-2005 14:06 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 10 februari 2005 15:22

Acties:

Victor

leuk_he schreef op donderdag 10 februari 2005 @ 14:02:
[...]

Het ontgaat me even waarvoor je het nodig hebt, maar de makers van "nmap" hebben binnen een week na het uitkomen van sp2 een workarround bedacht voor het versturen van raw tcp-ip data.
(door rechtstreeks de frames op ehternet te schrijven ipv raw sockets te gebruiken)
Dus MS heeft hier ook half werk geleverd in dit opzicht. (gibson heeft toch gelijk gekregen over raw sockets)

King_Louie schreef op maandag 07 februari 2005 @ 23:25:
[...]

Ik maak regelmatig gebruik van een aantal security tools (voor legale doeleinden), en een paar hiervan werken niet meer onder SP2. Tools als nmap die nog actief worden geupdate werken inmiddels weer gewoon, maar ik heb ook een aantal tools die wat minder regelmatig bijgewerkt worden. Hiervoor heb ik dan ook een aparte machine die nog onder XP SP1 draait om ze te kunnen gebruiken. Het zou fijn zijn als er een mogelijkheid was om een gebruiker met administrator rechten op de een of andere manier toch raw sockets te laten gebruiken.

woensdag 5 juli 2006 19:03

Acties:

ChiMan

Wil graag de patch proberen maar kan het nergens meer downloaden.
Kan iemand mij misschien met de pacth helpen?

Alvast bedankt.

woensdag 5 juli 2006 19:06

Acties:

Morax

De link in de eerste post na de startpost lijkt het nog gewoon te doen?

What do you mean I have no life? I am a gamer, I got millions!

woensdag 5 juli 2006 19:09

Acties:

ChiMan

Dat is het probleem, bij mij niet namelijk

woensdag 5 juli 2006 19:22

Acties:

niels88

Hier is een mirrortje: http://members.home.nl/s.klein/patch.zip
Maar wat Morax zei klopt, het werkt wel gewoon

[ Voor 31% gewijzigd door niels88 op 05-07-2006 19:23 ]

woensdag 5 juli 2006 20:36

Acties:

ChiMan

Bedankt allemaal voor de patch en link.

Site doet het ook bij mij nu.

zaterdag 19 augustus 2006 10:43

Acties:

Verwijderd

Toch maar een vraagje hier:
Hebben jullie ook malware/virus/trojan-meldingen als je de patch download?
Vier of zes (afhankelijk van waar ik de patch download) van de 15 scanners hier http://virusscan.jotti.org/ slaan alarm.

http://www.lvllord.de/ zegt dat het een valse melding is, maar wat denken jullie?

zaterdag 19 augustus 2006 13:14

Acties:

Morax

Het is gewoon veilig hoor (mits je het van de goede sites haalt

). Virusscanners checken waarschijnlijk ook gewoon op bestandsnamen, aangezien men virussen nog weleens wil vermommen als schijnbaar belangrijke bestanden, zodat mensen eerder geneigd zijn om dat ding te vervangen

What do you mean I have no life? I am a gamer, I got millions!

zondag 20 augustus 2006 15:10

Acties:

leuk_he

1. Controleer de kabel!

Virrusen maken ook die patch om zich sneller te kunnen verspreiden. Goede Virusscanners melden ook dat ze een verdachte patch gevonden hebben, niet dat ze een virus gevonden hebben.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

Pagina: 1

Reageer