troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

ファイアウォールでパケットをドロップさせたモジュール捜し : WFP の監査・トレース

概要

ファイアウォールでパケットをドロップしたモジュールを突き止める方法として、”WFP の監査・トレース”を用いた方法を紹介します。

内容

WFP とは
WFP(= Windows Filtering Platform) は、ネットワークをフィルタリングするアプリを作るためのAPI やWindows の仕組みの事で、ファイアウォールを作る際にも使用されます。
従って、WFP の監査とWFP のトレースを用いると、ファイアウォールでパケットをドロップしたモジュールがわかりえます。

WFP の監査・トレースの開始
1. 管理者権限のコマンドプロンプトで、以下のコマンドを実行しWFP の監査を有効にします。

auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:enable /failure:enable
auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:enable /failure:enable

2. 管理者権限のコマンドプロンプトで、以下のコマンドを実行しWFP のトレースを開始します。
netsh wfp capture start file = c:\Data\wfptrace.cab
[注意]このコマンドプロンプトはWFP のトレース終了まで閉じないでください。閉じると、WFP のトレースの終了ができなくなりました。
netsh wfp capture start file = c:\Data\wfptrace.cab


3. ファイアウォールでパケットをドロップさせます。
ここでは、Norton 360のファイアウォールで、iexplore.exe のパケットをドロップさせました。
186-3

4. 以下のコマンドで(上記1. で開始した)WFP の監査を終了します。
auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:disable /failure:disable
auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:disable /failure:disable

5. 以下のコマンドで(上記2. で開始した)WFP のトレースを終了します。
指定したファイルが出来上がります。
netsh wfp capture stop
netsh wfp capture stop


WFP の監査・トレースの解析
1. イベントビューアーを開き”セキュリティ” を開きます。
ここに、(上記した”WFP の監査・トレースの開始”の1. で開始した)WFP の監査の結果が記録されます。

2. ”失敗の監査” のイベントID “5152” に、設定したiexplorer.exe の接続がブロックされたことを示すログがあります。(・・下図の2, 3)
ここの”フィルター実行時 ID”(= ここでは”67359”) が、パケットをドロップしたモジュールのIDです。(・・下図の4)
失敗の監査 のイベントID 5152

3. ”フィルター実行時 ID”の詳細を調べるために、(上記した”WFP の監査・トレースの開始”の2. で開始した)WFP トレースの情報を確認します。
WFP トレースで作成されたcab ファイルの中にあるwfpdiag.xml を開きます。
wfpdiag.xml を開く

4. “フィルター実行時 ID” (= ここでは”67359”)で検索してみます。
すると、<item></item> の中の<filterId>67359</filterId> が見つかります。(・・下図の1)

そして、同じ<item> の中にある<displayData> を見てみると、ここでは、”Norton 360 FILTER FIREWALL CONNECT_V4” とあります。(・・下図の2)
wfptrace.xml

よって、Norton 360 がドロップしたという事がわかります。


情報元
Network Isolation of Windows Modern Apps – How Apps work with Akamai Internet Caching Servers in Windows 8/8.1 (英語)
  1. 2014/08/08(金) 23:24:51|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<サービスが使用しているアカウントのパスワードを表示 : SAPD.exe | ホーム | Visual Studio デバッグ時に使えるTips (2)>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/186-9f1bc1a2
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。