ファイアウォールでパケットをドロップさせたモジュール捜し : WFP の監査・トレース
概要
ファイアウォールでパケットをドロップしたモジュールを突き止める方法として、”WFP の監査・トレース”を用いた方法を紹介します。
内容
WFP とは
WFP(= Windows Filtering Platform) は、ネットワークをフィルタリングするアプリを作るためのAPI やWindows の仕組みの事で、ファイアウォールを作る際にも使用されます。
従って、WFP の監査とWFP のトレースを用いると、ファイアウォールでパケットをドロップしたモジュールがわかりえます。
WFP の監査・トレースの開始
1. 管理者権限のコマンドプロンプトで、以下のコマンドを実行しWFP の監査を有効にします。
| auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:enable /failure:enable |
2. 管理者権限のコマンドプロンプトで、以下のコマンドを実行しWFP のトレースを開始します。
| netsh wfp capture start file = c:\Data\wfptrace.cab |
3. ファイアウォールでパケットをドロップさせます。
ここでは、Norton 360のファイアウォールで、iexplore.exe のパケットをドロップさせました。
4. 以下のコマンドで(上記1. で開始した)WFP の監査を終了します。
| auditpol /set /subcategory:"フィルタリング プラットフォーム パケットのドロップ" /success:disable /failure:disable |
5. 以下のコマンドで(上記2. で開始した)WFP のトレースを終了します。
指定したファイルが出来上がります。
| netsh wfp capture stop |
WFP の監査・トレースの解析
1. イベントビューアーを開き”セキュリティ” を開きます。
ここに、(上記した”WFP の監査・トレースの開始”の1. で開始した)WFP の監査の結果が記録されます。
2. ”失敗の監査” のイベントID “5152” に、設定したiexplorer.exe の接続がブロックされたことを示すログがあります。(・・下図の2, 3)
ここの”フィルター実行時 ID”(= ここでは”67359”) が、パケットをドロップしたモジュールのIDです。(・・下図の4)
3. ”フィルター実行時 ID”の詳細を調べるために、(上記した”WFP の監査・トレースの開始”の2. で開始した)WFP トレースの情報を確認します。
WFP トレースで作成されたcab ファイルの中にあるwfpdiag.xml を開きます。
4. “フィルター実行時 ID” (= ここでは”67359”)で検索してみます。
すると、<item></item> の中の<filterId>67359</filterId> が見つかります。(・・下図の1)
そして、同じ<item> の中にある<displayData> を見てみると、ここでは、”Norton 360 FILTER FIREWALL CONNECT_V4” とあります。(・・下図の2)
よって、Norton 360 がドロップしたという事がわかります。
情報元
・Network Isolation of Windows Modern Apps – How Apps work with Akamai Internet Caching Servers in Windows 8/8.1 (英語)