Nätverksproblem med Windows XP SP2

I samband med att Microsoft släppte service pack 2 till Windows XP så införde man en hel del förändringar i hur nätverkstrafiken hanteras. Tanken var bl.a. att försöka få stopp på hur maskar och andra illasinnade program sprider sig. Tanken var god, för onekligen så gör dessa maskar en hel del skada, men man skall även betänka att den största skadan oftast sker i miljöer där man inte hållit datorerna uppdaterade eller haft ordentlig kontroll på konfigurationerna i brandväggar och routrar.

Tyvärr så införde man denna gång en begränsning på hur många pågående försök till nätverksuppkoppling man får ha, den gränsen är satt till 10 och när den nås får nya uppkopplingar helt enkelt vänta. Så här förklaras detta på engelska i dokumentationen:

    www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx


Limited number of simultaneous incomplete outbound TCP connection attempts

Detailed description
The TCP/IP stack now limits the number of simultaneous incomplete outbound TCP connection attempts. After the limit has been reached, subsequent connection attempts are put in a queue and will be resolved at a fixed rate. Under normal operation, when applications are connecting to available hosts at valid IP addresses, no connection rate-limiting will occur. When it does occur, a new event, with ID 4226, appears in the system’s event log.

Why is this change important? What threats does it help mitigate?
This change helps to limit the speed at which malicious programs, such as viruses and worms, spread to uninfected computers. Malicious programs often attempt to reach uninfected computers by opening simultaneous connections to random IP addresses. Most of these random addresses result in a failed connection, so a burst of such activity on a computer is a signal that it may have been infected by a malicious program.

What works differently?
This change may cause certain security tools, such as port scanners, to run more slowly.

How do I resolve these issues?
Stop the application that is responsible for the failing connection attempts


De program som oftast uppvisar problem med detta är de mest nätverksintensiva programmen, men problemet är klart reellt även vid fullt normal användning. Själv märkte jag av det när jag surfade och hade många fönster igång. Så här ser meddelandet ut i eventloggen:

    

Att lösa problemet är dessvärre inte så enkelt, denna gång räcker det nämligen inte med att ändra någon inställning i registret, det som krävs är inget mindre än att man inför en permanent ändring i drivrutinen för TCP/IP (!). Som tur är så finns det några som redan löst problemet åt oss, en väl fungerande lösning finns klar att hämta hem härifrån:

    www.lvllord.de

Johan Persson <2397>