שאלה לגבי חיבורי tcp בטלפון

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #1 

שלום לכולם,

אני תוהה כיצד אפליקציות ברקע מקבלות עדכונים ושיערתי שזה דרך פתיחת חיבורי tcp מידי פעם מול השרת שהם צריכות ממנו מידע.

חיפשתי על זה מידע והבנתי שזה באמת ככה. הבעיה שאני לא מבין איך למשל Gmail או כל אפליקציית אחרת שמקבלת מידע באותו רגע של העדכון. למשל אפליקציות תוצאות של ספורט למשל או Gmail.

הרי החיבור tcp לא נשאר פתוח לצמיתות. ואם האפליקציות מתוכנתות לפתוח מידי פעם חיבור לבקשת עדכון אז אמור להיות דיליי בקבלת העדכון.. ונניח שהאפליקציות האלכ עובדות גם כשרת שמאזין לפורט באופן קבוע אז זה לא הגיוני כי אין לי upnp בראוטר ובטח שלא עשיתי port forwarding לראוטר.

אשמח להסבר..

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #2 

Dor1992 כתב:שלום לכולם,

אני תוהה כיצד אפליקציות ברקע מקבלות עדכונים ושיערתי שזה דרך פתיחת חיבורי tcp מידי פעם מול השרת שהם צריכות ממנו מידע.

חיפשתי על זה מידע והבנתי שזה באמת ככה. הבעיה שאני לא מבין איך למשל Gmail או כל אפליקציית אחרת שמקבלת מידע באותו רגע של העדכון. למשל אפליקציות תוצאות של ספורט למשל או Gmail.

הרי החיבור tcp לא נשאר פתוח לצמיתות. ואם האפליקציות מתוכנתות לפתוח מידי פעם חיבור לבקשת עדכון אז אמור להיות דיליי בקבלת העדכון.. ונניח שהאפליקציות האלכ עובדות גם כשרת שמאזין לפורט באופן קבוע אז זה לא הגיוני כי אין לי upnp בראוטר ובטח שלא עשיתי port forwarding לראוטר.

אשמח להסבר..
...
אפשר בהחלט להשאיר חיבור TCP פתוח לצמיתות וזה גם מה שקורה ב-Push Notifications. ברוב המקרים אם אין הודעות אז תועבר מידי פעם הודעת Heartbeat שקטה (ללא אינדיקציה למשתמש) כדי לוודא שהחיבור לא נפל.
אגב, רוב האפליקציות לא יוצרות חיבור כזה בעצמן אלא משתמשות בשירותי Push notifications מרכזיים של גוגל / אפל. יש מעט מאוד אפליקציות שעובדות באופן עצמאי, לרוב אפליקציות תקשורת כמו Whatsapp.

eizen5
חבר ותיק
חבר ותיק
הודעות: 1024
הצטרף: ינואר 2010
נתן תודות: 520 פעמים
קיבל תודות: 92 פעמים

נמחק.

נושא שלא נקרא #3 

נמחק.
נערך לאחרונה על ידי eizen5 ב 30/12/2023 19:31, נערך פעם 1 בסך הכל.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #4 

@NegativeIQ
·

תודה אחי
אז בעצם מה כל כך חשוב לסגור את הupnp?
הרי אם אני אפעיל אפליקציה והיא תהיה זדונית ככה שהיא תשלח בקשה לשרת ותשאיר מולו חיבור tcp פתוח כל הזמן זה לא ממש יעזור לי שהupnp סגור. גם הטלפון שלי וגם הראוטר ימשיכו להאזין לפורט ולקבל חבילות מהשרת..

סגירת הupnp בסך הכל מגבילה מכל מחשב כלשהו באינטרנט לפנות אליי ישר בלי שאשלח לו בקשה..

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #5 

Dor1992 כתב:@NegativeIQ
·

תודה אחי
אז בעצם מה כל כך חשוב לסגור את הupnp?
הרי אם אני אפעיל אפליקציה והיא תהיה זדונית ככה שהיא תשלח בקשה לשרת ותשאיר מולו חיבור tcp פתוח כל הזמן זה לא ממש יעזור לי שהupnp סגור. גם הטלפון שלי וגם הראוטר ימשיכו להאזין לפורט ולקבל חבילות מהשרת..

סגירת הupnp בסך הכל מגבילה מכל מחשב כלשהו באינטרנט לפנות אליי ישר בלי שאשלח לו בקשה..
...
ברוב המקרים Malware גם לא ישאיר חיבור TCP פתוח באופן קבווע אלא יפנה לשרת של המפעיל שלו באופן פריודי (בד"כ פעם בשעה-שעתיים) ויבדוק אם המפעיל השאיר לו הוראות.
כעיקרון Malware זה שיקול לביטול UPnP אבל לא השיקול העיקרי - השיקול העיקרי הוא דווקא תוכנות לגיטימיות שרצות במחשב ו/או רכיבי IoT שפותחים פורטים לעצמם בלי שאתה יודע, ובחלק מהמקרים מדובר בדברים ישנים עם פרצות אבטחה ידועות (מצלמות IP ידועות לשמצה בנושא הזה), ואז אותם פורטים פתוחים הופכים להיות וקטור התקפה.
סיבה נוספת היא שגם בלי עניין של האקינג - כש-UPnP דולק אתה לא יודע מה חשוף לאינטרנט. יכול להיות שקראת את ההמלצות פה ושמת את מלצמות ה-IP שלך מאחורי VPN, אבל אין לזה שום משמעות אם הן פתחו לעצמן את הפורטים לאינטרנט עם UPnP.
השורה התחתונה היא שכש-UPnP דולק אתה לא יודע איזה פורטים פתוחים ומה משתמש בהם. כשזה כבוי השליטה אצלך.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #6 

@NegativeIQ
·

תודה אחי

מה שאני מתכוון בשורה התחתונה זה המסקנות האלה, ואני חושב שהן נכונות לגמרי:

1. נוזקה לא צריכה upnp. היא יכולה לפתוח חיבור מול השרת או הלקוח שהיא תוכנתה לפתוח מולו ולהשאיר את החיבור פתוח ולקבל חבילות ממנו.

2. הupnp בסך הכל מונע מתוכנות לפתוח פורט בראוטר ולקבל חבילות מכל מכשיר באינטרנט. אני לא מצליח להבין מה החשש הגדול מupnp. הרי אתה בעצם אומר שהנוזקה יכולה לפתוח חיבור מול שרת ספציפי ואז הוא יוכל לשלוח פקודות לפורט שהיא מאזינה לו. המסקנה היא שנוזקות לא חייבות upnp בכלל.

ובלי קשר:
1. סרקתי את הפורטים שאמורים לשמש את הGoogle service לפי רשימה שמצאתי ואף אחד מהם לא פתוח.. מוזר..

2. הורדתי netstat לגלקסי ומשום מה הדף שלו ריק כל הזמן ואני לא רואה חיבורים.. אתה יודע איך לסדר את זה?

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #7 

Dor1992 כתב:@NegativeIQ
·

תודה אחי

מה שאני מתכוון בשורה התחתונה זה המסקנות האלה, ואני חושב שהן נכונות לגמרי:

1. נוזקה לא צריכה upnp. היא יכולה לפתוח חיבור מול השרת או הלקוח שהיא תוכנתה לפתוח מולו ולהשאיר את החיבור פתוח ולקבל חבילות ממנו.

2. הupnp בסך הכל מונע מתוכנות לפתוח פורט בראוטר ולקבל חבילות מכל מכשיר באינטרנט. אני לא מצליח להבין מה החשש הגדול מupnp. הרי אתה בעצם אומר שהנוזקה יכולה לפתוח חיבור מול שרת ספציפי ואז הוא יוכל לשלוח פקודות לפורט שהיא מאזינה לו. המסקנה היא שנוזקות לא חייבות upnp בכלל.

ובלי קשר:
1. סרקתי את הפורטים שאמורים לשמש את הGoogle service לפי רשימה שמצאתי ואף אחד מהם לא פתוח.. מוזר..

2. הורדתי netstat לגלקסי ומשום מה הדף שלו ריק כל הזמן ואני לא רואה חיבורים.. אתה יודע איך לסדר את זה?
...
לא כל Malware זהה. מה שרשמתי הוא שביטול UPnP הוא לא פתרון קדם שיגן עליך מכל Malware או אפילו מהרוב, אבל יש כאלה שמשתמשים בזה או גם בזה ואין סיבה לתת להם את זה.
כמו שאמרתי יש חשש לא קטן, ואולי דווקא הגדול יותר, שמי שיפתח את הפורטים הוא לאו דווקא Malware אלא תוכנות שאתה מריץ (במודע או שלא), שיכולות להיות ישנות ופגיעות, ושלא היית חושף לאינטרנט מיוזמתך.
אני אתן דוגמה - עשיתי מחקר על מצלמת IP סינית לפני כשנתיים. ברגע שאתה מחבר אותה לרשת, אם יש UPnP פועל היא ישר פותחת את פורטים 80 ו-554 אליה. בנוסף גם סיסמת ברירת-המחדל שלה היא "admin", ככה שבעצם אם אתה מחבר אותה לרשת ולא נכנס מייד ומשנה את ההגדרות, בעצם כל אחד בעולם יכול לצפות במצלמה שלך (רוצה לדעת כמה זה נפוץ? תיכנס לאתר insecam). אם אין UPnP דולק זה לפחות מונע את הגישה מהאינטרנט. חוץ מזה גם התאריך ה-Firmware הוא מ-2015 ולא מצאתי עדכון, ככה שסיכוי סביר שיש פרצות אבטחה שיאפשרו לפרוץ ולהשתלט עליה לגמרי מרחוק.
גם אם נסתכל על תוכנות רגילות למחשב, לך תזכור האם התקנת לפני שנים איזה תוכנת סטרימינג או מסנג'ר או משהו שפותח פורט ובכלל שכחת שזה עדיין מותקן ורץ ובטוח שכחת לעדכן ואולי יש בו פרצות, וה-UPnP מאפשר להתחבר אליו מרחוק ולנצל את אותן פרצות. כשה-UPnP כבוי אתה יודע שגם אם יש לך משהו לא מעודכן במחשב, אז נכון שזה רע בכל מקרה, אבל לפחות אי-אפשר לפרוץ אותו מרחוק "ללא מגע יד אדם".

לשאלותיך הנוספות -
1. החיבור לשירותים של גוגל הוא חיבור יוצא, כלומר הפורט פתוח על השרת של גוגל, לא על הטלפון שלך. עד כמה שידוע לי אנדרואיד לא פותחת כברירת מחדל שום פורט, אם כי אפליקציות יכולות לפתוח פורטים.
2. לא יודע איזו אפליקציה הורדת. הכי טוב הוא שפשוט תוריד אפליקציית terminal ותריץ ממנה את הפקודה.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #8 

@NegativeIQ
·

תודה רבה. רק שאלה אחרונה אחי.

לגבי המצלמות. הרי כל בעל המצלמות רוצה לצפות בהן מחוץ לLan. אז הוא יגם צטרך להגדיר בראוטר full cone nat לאייפי של המצלמות וגם לא להגביל את החיבורים הנכנסים לראוטר תאייפי מסויים (כי הרי האייפי שלו כל הזמן ישתנה כשהוא נמצא מחוץ לבית ומחובר לרשת הסלולרית). ואז בעצם גם אם הוא שם את המצלמות על פורט לא סטנדרטי עדיין יכולים לסרוק את הראוטר שלו ולגלות את הפורט הפתוח הזה ולהגיע לדף הפתיחה של שרת המצלמה אז זה גם ככה לא משנה, לא? מה שחשוב זה בתכלס סיסמא חזקה לכניסה למצלמות. הרי אין הבדל אם המצלמות השתמשו בupnp או שאתה הגדרת ידנית full cone nat אליהם.

לגבי הפורט היוצא. במידה ויש חיבור tcp פתוח קבוע בין הגוגל סרביס בטלפון לבין שרת מסויים אז הפורא בטלפון הוא גם פורט נכנס (רק מהכיוון של השרת הספציפי הזה כמובן). ככה בעצם אמרת שאנחנו מקבלים push notifications. וכדי לקבל הרי צריך שהgms בטלפון יהיה בחיבור קבוע מול השרת והמשמעות של זה שהוא גם מאזין לפורט לקבלת חבילות לא?

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #9 

Dor1992 כתב:@NegativeIQ
·

תודה רבה. רק שאלה אחרונה אחי.

לגבי המצלמות. הרי כל בעל המצלמות רוצה לצפות בהן מחוץ לLan. אז הוא יגם צטרך להגדיר בראוטר full cone nat לאייפי של המצלמות וגם לא להגביל את החיבורים הנכנסים לראוטר תאייפי מסויים (כי הרי האייפי שלו כל הזמן ישתנה כשהוא נמצא מחוץ לבית ומחובר לרשת הסלולרית). ואז בעצם גם אם הוא שם את המצלמות על פורט לא סטנדרטי עדיין יכולים לסרוק את הראוטר שלו ולגלות את הפורט הפתוח הזה ולהגיע לדף הפתיחה של שרת המצלמה אז זה גם ככה לא משנה, לא? מה שחשוב זה בתכלס סיסמא חזקה לכניסה למצלמות. הרי אין הבדל אם המצלמות השתמשו בupnp או שאתה הגדרת ידנית full cone nat אליהם.

לגבי הפורט היוצא. במידה ויש חיבור tcp פתוח קבוע בין הגוגל סרביס בטלפון לבין שרת מסויים אז הפורא בטלפון הוא גם פורט נכנס (רק מהכיוון של השרת הספציפי הזה כמובן). ככה בעצם אמרת שאנחנו מקבלים push notifications. וכדי לקבל הרי צריך שהgms בטלפון יהיה בחיבור קבוע מול השרת והמשמעות של זה שהוא גם מאזין לפורט לקבלת חבילות לא?
...
אם יש לך משהו שאתה צריך אליו גישה מרחוק אבל רק לך (כמו מצלמות אבטחה, בניגוד נגיד לביטורנט שאתה באמת צריך שתהיה אליו גישה מכל העולם) אז הדבר הנכון לעשות הוא לשים אותו מאחורי VPN. גם לי יש כמה מצלמות אבטחה אבל אין אליהן הפניית פורטים - במקום זה יש שרת VPN (במקרה שלי על הראוטר עצמו אבל כעיקרון אפשר להתקין גם על מחשב שנמצא מאחוריו) וזה הפורט היחיד שפתוח אצלי על הראוטר. אחרי שמתחברים ל-VPN ועוברים אימות מבוסס מפתח הצפנה / תעודה דיגיטלית ו/או סיסמה אז מקבלים כתובת IP פנימית ברשת של הבית/העסק שמאפשרת להתחבר לכל מה שיש לך ברשת בלי הפניית פורטים בראוטר (כאילו שאתה מחובר פיסית לרשת שלך).
בתצורה הזאת הפורטים היחידים שפתוחים בראוטר שלך הם של שרת ה-VPN ושל דברים שאתה בכוונה נותן אליהם גישה לאחרים מהאינטרנט (כאמור ביטורנט וכו').

לשאלתך השניה, ככל שמדובר בחיבור TCP המונח פורט נכנס הוא הפורט שפתוח על השרת והמונח פורט יוצא הוא ה-Source port של ה-Client שיצר את החיבור. כמובן שפקטות שעוברות מהשרת חזרה ללקוח יהיו מיועדות לפורט שהוא משתמש בו אבל לצורך הטרמינולוגיה עדיין ברמת "מבט העל" נקרא לו פורט יוצא (בניגוד לרמת הפקטה הבודדת שבה מדברים על פורט מקור ופורט יעד). הדבר הכי חשוב הוא העובדה שה-Client מקבל מידע חזרה לפורט היוצא לא אומרת שהוא מאזין לחיבורים חדשים על הפורט הזה - אם תנסה להתחבר אליו באותו פורט אתה תראה שהפורט סגור כי הוא לא מצפה לחיבור נכנס בפורט הזה. ה-Client יודע לאיזה שרת ולאיזה פורט הוא יצר את החיבור היוצא ויאפשר רק לתשובות מאותו חיבור להגיע חזרה.

Dor1992 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 577
הצטרף: אוגוסט 2018
מיקום: חיפה
נתן תודות: 80 פעמים
קיבל תודות: 5 פעמים

Re: שאלה לגבי חיבורי tcp בטלפון

נושא שלא נקרא #10 

@NegativeIQ
·

תודה אחי הסבר מצויין.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”