que ports usa windows live messenger? en el foro de Seguridad Informática:

bueno, busque un poco un google y no pude encontrar la respuesta exacta, así que simplemente pregunto:
que puertos usa windows live messenger en sus pcs? La razón de la pregunta es que mirando los ports abiertos en mi maquina vi que el messenger tenia abierto el port udp 9 lo cual me resulta MUY MUY raro (el port es usado para el protocolo discart, y jamas había visto al messenger usarlo).
Bueno para los que quieren ayudarme con las respuestas simplemente tiene que ejecutar en la linea de comandos: "netstat -anb" (va a tardar un rato) y mirar las entradas asociadas con messenger (con nombre msnmsgr.exe); o usar tcpview ( Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis! ); por ejemplo en mi maquina me aparece
(lo importante en estas entradas es el tipo de protocolo (UDP o TCP) y en que port (el numero despues de la ip y los dos puntos ":"; los numero de ip si quieren no los pongan o modifiquelos un poco)
la entrada que llama la atencin es "msnmsgr.exe:1304 UDP 190.49.244.19:9 *:* " (bueno, en ahora que lo miro me parece raro que habra tantos puertos...). Bueno, las entradas que empiezan con 127 y 192 (ips privadas) supongo que no deberian ser tenidas en cuenta pero bueno.
(Me parece que voy a tener que aceptar el consejo de usar otro firewall...)

Probablemente alguien con más conocimientos que yo tire la justa, pero me parece que usa el que se le canta. Por eso es bastante jodido de bloquear, y si bloqueás todos los puertos que usa gralmente termina usando el 80 y te jode la vida. Ahí tenés que empezar a bloquear páginas.. al menos eso era lo que hacía para bloquearlo cuando trabajaba de técnico, y funcionaba.

es medio raro; los ports que usa el cliente en general son "aleatorios" (agarra cualquiera, el que le den el SO) pero los que usa el servidor al que se conecta son conocidos ; por ejemplo, si queres bloquear el msn tenes que bloquear el port 1863 de salida (el port que usa el cliente para conectarse al 1863 es cualquiera; nunca se va a poder bloquear filtrando por el port que usa el cliente); lo podes bloquear para cualquier ip o solamente para los servers de messenger de microsoft.
Lo raro en mi caso es que esta usando un port UDP bajo (menor que 1024); usar estos ports para programas usuario va en contra de todos las reglas de Internet; si lo escogio al azar, los que hicieron este programa son idiotas (primero, esta usando un numero de port standard que ya tiene especificado un uso; y segundo, lo van a bloquear la mayoría de los firewalls). Como no creo que lo sean (al menos no tanto), supongo que algo "raro" esta pasando.

El messenger usa el 1863 para conectarse a un servidor, el resto creo que los usa al transferir archivos. De todas formas los puertos del 1024 en adelante generalmente son de uso general libre para los programas.

ok cala; los de arriba de 1024 no tengo problema , el que me jode es el número 9 udp.

Replanteo la pregunta: a alquien el windows live messenger le está usando algún port abajo de 1024?

Lo importante es el port que ves a la derecha... el 1863 y que es el adonde se conecta. Muchas veces en las conexiones, en la parte local como uno cuando llama a las api de sockets no especifica un puerto local, el s.o. le asigna uno... en tu caso el 9 aunque puede variar. El port de la izq. es significativo cuando es un puerto de escucha, o sea, para que entren conexiones y en conexiones udp es mas complicado porque son enlaces no orientados a la conexion.

En sintesis... mientras no veas mas de un enlace establecido salvo que estes enviando un archivo no te preocupes. Fijate si tu firewall permite ver el trafico de red o si estas tras un router fijate con el ethereal.

deje toda la noche a wireshak snifeando ese puerto; no hubo trafico (bueno, tampoco chatie con nadie)
En cuanto a lo que decis de los ports:
-para TCP: cuando se solicita una conexión saliente ala api, por lo general no se especifica el port origien (en general no es importante) y el so da cualquiera que este en desuso; PERO jamas da un port abajo del 1024 (al menos que yo sepa); IGUAL esto se aplica a tcp

-para UDP: uno no solicita una conexión (estas no existen), simplemete se solicita un port udp. Hay dos casos:
1) el soft especificamente solicita el port 9 upd; en este caso es muy sospechoso;
2) el soft solicita solo un socket (sin especificar el port local que desea), y el SO le da el port 9 upd; en este caso, lo veo mas bien improbable: es una estupidez que el so de un port reservado a un programa; en particular este port (tanto udp como tcp) esta asignado por al protocolo discard. Esto es similar a abrir un socket sin especificar el port y que el SO te de el port udp 53 (pasas a ser un server dns quieras o no)

La razon de la sospecha es que una forma simple de crear un backdoor en una maquina es infectar un programa para que "escuche" en un determinado port, o directamente instalar un programa que sea el backdoor en si mismo. Existe el concepto de escucha bajo udp; protocolos como TFTP (Trivial FTP) usan udp y el server usa port conocido a la espera de "conexiones" (conexiones en el sentido upd, e.d la conexion es manejada completamente por el programa; el SO solo pasa los paquetes que llegan al port asociado al socket y anda mas).
En este caso, el echo de que no haya actividad en ese port no significa nada; en algún momento la pude haber.

Bue, capaz que no es nada y windows le dio el port 9... siempre se ven cosas nuevas.

AGREGO: cierro complentamente al messenger, lo abro (ahi toma 5 ports udp) me logeo (crea la conexion al port 1863), abre muchas conexiones http, Y VUELVE A ABRIR EL PORT 9 (lo hace siempre!). Parece ser el unico port udp que mantiene siempre (los otros que usa varian). Es obvio que ese port lo esta solicitando messenger explicitamente. A alguien le ocurre? A vos cala?

tiré el comando y a mi también me usa el puerto 9, ni idea qué será porque no sé de esto :P

encontre esto pero no hablan del puerto 9 sera como el area 51?

Si nos conectamos a Internet a través de un Firewall (cortafuegos) o un router habremos comprobado que algunas de las características de Windows Live Messenger no funcionan de forma correcta. Para solucionar este problema tendríamos que configurar en el firewall o router el uso de los siguientes puertos:

• Videoconferencia, audio, video y llamadas de PC a teléfono utilizan los puertos UDP 5004-65535 (desde el puerto UDP 5004 hasta el puerto UDP 65535). Debido a que el envío de flujos se aloja dinámicamente en este rango de puertos, tendremos que encontrar la manera de abrir todos ellos.
• Compartir aplicaciones y pizarra utiliza el puerto TCP 1503
• La transferencia de archivos requiere los puertos TCP 6891-6900. Estos puertos permiten hasta 10 transferencias simultáneas por usuario. Si únicamente abrimos el puerto 6891, el usuario únicamente podrá realizar una única transferencia simultánea.
• La Asistencia Remota utiliza el puerto TCP 3389

perdon aca encontre este link de microsoft:
Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!

ahi dice :

Detección de la red TCP 7001
UDP 9, 7001

me alegra que a alquien mas le pase lo mismo, ja. O es algo normal o estamos los dos al horno
(la mayoria de cosas echas pro Microsoft parecen estar en el area 51...)

Asi parece (que raro que google no me llevo a esa pagina directamente...); igual , el articulo parece que se aplica a Vista (pero debe ser lo mismo en todos) y no especifica si ese port es usado por los clientes como port origen (por ej el tcp 1863 dice que lo usa, pero no especifica que NO es usado como port origen). Igual abra que ver que es eso de "detección de red"; pero desde ya que esta implementado de una manera patética (sigo afirmando que usar un port bajo para cualquier cosa que no sea un server es una estupidez; ademas que esta siendo usado por un protocolo no estandarizado).
Mas allá de todo esto, entre vos y arielj me tranquilizaron bastante.