系统进程svchost自动连接远程地址，这是否正常？

adair

我的机子每次开机后，系统进程svchost都会自动连接远程地址211.98.2.4（UDP，端口:53），这是北京的IP，可是我的DNS服务器地址在广州。如果我用防火墙阻止svchost连接到211.98.2.4，QQ音乐和IE和Opera都无法正常使用。

IE和Opera都会无法打开网页。QQ音乐启动后，QQ乐库界面显示无法连接，如果登陆会显示无法登陆。comodo显示QQ进程建立远程连接到183.62.127.236 和 121.14.73.194，norton只记录到QQ进程发包到我的DNS服务器。
在这种情况下，comodo dragon浏览器和通达信可以正常使用。

如果我允许svchost重新出站连接到北京的IP211.98.2.4，那么IE、Opera和QQ音乐就能正常使用，目前只试了这3项。请问各位谁那告诉我svchost为什么会访问远程地址？是不是只有我的机子的svchost需要连接到远程地址？急.....

sevenday

正常的，你多心了，比如用手机，总要允许手机连接运营商吧

adair

sevenday 发表于 2012-11-17 10:43
正常的，你多心了，比如用手机，总要允许手机连接运营商吧

可是我在广州，运营商应该也在广州吧，为啥要连到北京？我用tracert来跟踪任何一个网站的路径，都显示用不着经过那个北京的IP。
从norton的记录看，如果阻止svchost访问那个北京的IP，那么发包只发到我的本地连接的DNS那，不会再往下传，那么这个svchost究竟是干什么呢？为什么comodo dragon浏览器又可以不需要svchost连接去那？难道是域名解析？这个不懂。

a330391

svchost.exe这个东西经常联网，好多软件都用他升级，微软自身也是用它升级的。
要是不喜欢他们自动升级的话可以阻止。全手动控制各个软件的升级状态。
基本上每次开机之后svchost.exe都会联网，这进程也进行着时间同步的作用。

sevenday

adair 发表于 2012-11-17 15:28
可是我在广州，运营商应该也在广州吧，为啥要连到北京？我用tracert来跟踪任何一个网站的路径，都显示用不 ...

主要是微软自身联网升级更新什么的需要，大部分软件也需要他联网升级，我的运营商是指给你服务的软件的主机供应商，那大江南北都有，广东相对比较少，价格太贵，长三角，京津唐多一些

数据流谷雨

我刚才查了一下，211.98.2.4是一个dns服务器地址，而且是铁通的，http://hi.baidu.com/huyueya/item/88b57c32ead8b884c3cf2924
http://service.cngrain.com/dns.html
假如你阻止了，网页自然打不开。
你可以在cmd下面输入nslookup，看看你的dns服务器是不是这个ip

adair

sevenday 发表于 2012-11-18 09:25
主要是微软自身联网升级更新什么的需要，大部分软件也需要他联网升级，我的运营商是指给你服务的软件的主 ...

我的这个情况是在开机后不运行任何程序，并且启动设置已关闭了大部分软件的自动升级，只留下comodo和norton的升级，这2个升级用不着svchost。这时候在没有触发任何进程的时候，svchost会自动连接北京ip。

你可以试试，用你的防火墙为svchost设置一个规则,只允许它出站连接到你的DNS地址，其它一律阻止，然后上网，如果一切正常，那就说明svchost只需要用到本机的信息，这才是正常的。因为系统安装时根本不可能在系统核心中考虑一个和系统软件商（这里是微软）无关的、无法确定何时会更改用途的网站。

本机DNS地址在【所有连接】->【本地连接】->【状态】->【支持】->【详细信息】可以查看。svchost只需要用到这里提供的本机信息。

我的svchost在昨天发帖后又回复正常，我现在用norton设置的svchost防火墙规则有2条，第一条是允许出站连接到特定电脑（DNS地址），通信协议TCP和UDP，端口53，这个端口定义为Domain Name Server，也就是域名解析用的；第二条是阻止入站/出站-所有电脑-任何电脑-任何通信-全部协议，并且创建日志项。这样如果一个连接不符合第一条规则，就会被第二条规则阻止，并且被记录下来。在设置之后而目前norton的安全历史记录中没有svchost的记录。这说明svchost正常情况下是不会连接到远程地址的。

用comodo查看活动的连接可以看到IE每开一个网页，svchost就会和我的DNS建立连接，端口是53. 应该是svchost在IE打开网页这个进程中进行有关域名解析的事。其它的联网进程也是如此。

adair

数据流谷雨 发表于 2012-11-18 11:09
我刚才查了一下，211.98.2.4是一个dns服务器地址，而且是铁通的，http://hi.baidu.com/huyueya/item/88b57c ...

我用nslookup测试了一下，给出的地址和我在本地连接的信息中看到的一样。事实上我并不需要连接到那个北京ip 211.98.2.4。
我在7楼有比较详细的补充说明，谢谢你帮我查看。

adair

a330391 发表于 2012-11-17 14:36
svchost.exe这个东西经常联网，好多软件都用他升级，微软自身也是用它升级的。
要是不喜欢他们自动升级的话 ...

这个应该并非如此（请看我7楼）。
另外时间同步如果是指启动项中的Windows Time, 这个的解释是“维护在网络上的所有客户端和服务器的时间和日期同步。如果此服务被停止，时间和日期的同步将不可用。如果此服务被禁用，任何明确依赖它的服务都将不能启动。
”。 如果机子没有和其它电脑组网的话那应该是用不着的，我禁用了。

a330391

adair 发表于 2012-11-18 13:36
这个应该并非如此（请看我7楼）。
另外时间同步如果是指启动项中的Windows Time, 这个的解释是“维护在网 ...

svchost是WIN7的资源共享进程（服务宿主），一些网络服务会用这进程办事。