[XP] TCP/IP has reached the security limit imposed ... - Windows clients

zondag 10 juni 2007 22:36

Acties:

Verwijderd

Topicstarter

Hoi,

Sinds kort heb ik onmiddellijk na het opstarten de melding

Event Type: Warning
Event Source: Tcpip
Event Category: None
Event ID: 4226
Date: 10/06/2007
Time: 22:21:36
User: N/A
Computer: EISBAERKE
Description:
TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 01 00 54 00 ......T.
0008: 00 00 00 00 82 10 00 80 ......
0010: 01 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

Dat er een patch voor bestaat (evid4226patch223d-en) weet ik maar ik zou liever weten wat de oorzaak is, windows staat er nog maar een dikke 2 maand op en het is pas sinds ik skype heb geinstalleerd dat het probleem zich voordoet (maar ook niet altijd, 3 op de 10 keer dat ik boot) ... wat ik dus eerder zoek is een oplossing (buiten het toepassen van de patch) of een manier te monitoren wat de oorzaak zou kunnen zijn, met TCPview van Sysinternals zie ik niets abnormaal. Ook zou ik graag weten of het normaal is dat de connectie nadien traag blijft, zonder dat er nieuwe meldingen in het logboek komen.

edit, niet onbelangrijk, ik heb een XP Pro SP2 systeem met alle patches & updates op de legal way

dus geen autopatcher stuff ofzo met bijkomende tweaks

[ Voor 5% gewijzigd door Verwijderd op 10-06-2007 22:39 ]

zondag 10 juni 2007 22:41

Acties:

alt-92

ye olde farte

Je hebt iets wat zo nu en dan bij het opstarten de limiet overschrijdt, en de aanmaak van nieuwe connecties afknijpt totdat de oude "afgestorven" zijn.
Tot die tijd is de boel inderdaad traag.

Wil je het monitoren zou je er ook een loggende firewall tussen kunnen zetten of een sniffer mee laten lopen.

[ Voor 22% gewijzigd door alt-92 op 10-06-2007 22:43 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 10 juni 2007 22:43

Acties:

Snake

Los Angeles, CA, USA

Het komt waarschijnlijk doordat je skype gebruikt, p2p, zet meerdere connecties open

Heb je misschien ook torrents draaien?

Gewoon patch erover smijten

Going for adventure, lots of sun and a convertible! | GMT-8

zondag 10 juni 2007 22:44

Acties:

Verwijderd

De vraag is waarschijnlijk welke software maakt al die connecties. netstat(.exe?) via command-line proberen? of de GUI-versie Active Ports

edit:

Die limit in tcpip.sys is btw over the top aangezien 10 connecties per seconde betekent dat er in een minuut alsnog 10^60 pc's besmet kunnen zijn.

[ Voor 24% gewijzigd door Verwijderd op 10-06-2007 22:46 ]

zondag 10 juni 2007 22:51

Acties:

Verwijderd

Topicstarter

Ik heb utorrent, maar deze start niet mee op bij het opstarten, maar het zal dus patch gebruiken worden voor zover ik ook kan vinden via google ... ik vind het alleen vreemd want buiten skype is er eigenlijk niets speciaal dat mee opstart bij het opstarten, zelfs geen msn ofzo

zondag 10 juni 2007 22:53

Acties:

alt-92

ye olde farte

Verwijderd schreef op zondag 10 juni 2007 @ 22:44:

edit:
Die limit in tcpip.sys is btw over the top aangezien 10 connecties per seconde betekent dat er in een minuut alsnog 10^60 pc's besmet kunnen zijn.

En je punt is?
Je begrijpt waarschijnlijk wel dat er een keuze gemaakt moet worden, die niet te beperkend is voor doorsnee gebruik?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 10 juni 2007 23:05

Acties:

Verwijderd

Ik heb het verhaal verkeerd begrepen.
Het tcpip.sys-limiet is alleen aanwezig bij halfopen connecties naar buiten toe. Virussen vermenigvuldigen zichzelf zoveel mogelijk naar onbekende ip-adressen, welke dus een halt toegeroepen worden tot 10-max tegelijk tot hun timeout en de rest in de buffer/queue. In principe zou je er dus nooit last van moeten hebben als gebruiker (al dan niet met p2p, want het eindstation's ip-adres is altijd bekend (en levend).

Het word voor mij dan wel een raarder probleem worden voor de TS, de bron zoeken is erg belangrijk. Succes

edit:

ach en een klein feitje. nlite slipstreamed deze patch/hack automatisch in je windows cd

[ Voor 9% gewijzigd door Verwijderd op 10-06-2007 23:11 ]

zondag 10 juni 2007 23:10

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Een patch erover heen smijten is niet altijd de beste oplossing omdat sommige security sofware zoals personal firewalls niet goed overweg kunnen met een gepatchte tcpip.sys. Let er ook op welke patch je gebruikt indien je er toch voor kiest te gaan patchen gezien sommige patches een minder positieve payload mee installeren.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 11 juni 2007 00:09

Acties:

Verwijderd

Topicstarter

Bor de Wollef schreef op zondag 10 juni 2007 @ 23:10:
Een patch erover heen smijten is niet altijd de beste oplossing omdat sommige security sofware zoals personal firewalls niet goed overweg kunnen met een gepatchte tcpip.sys. Let er ook op welke patch je gebruikt indien je er toch voor kiest te gaan patchen gezien sommige patches een minder positieve payload mee installeren.

net daarom dat ik geen patch wil installeren, dus ik ga nog even verderzoeken en anders zal het een patch worden of af en toe rebooten als het zich voordoet. Het analyseren is niet vanzelfsprekend omdat het probleem zich al onmiddellijk bij het opstarten voordoet.