Filtragem de plataforma do Windows - pacotes legítimos bloqueados

Navegue suas respostas
3

Estou executando o Windows 2008 R2 e tenho IIS7 / MySQL hospedando vários sites. No entanto, recentemente tive erros de conexão aparentemente aleatórios, talvez um de 50 vezes.

Eu dei uma olhada no visualizador de eventos e há muitos pacotes bloqueados para postar 80 de muitos IPs diferentes no momento dos problemas, incluindo o meu próprio (registro do visualizador de eventos anexado na parte inferior do post).

Parece que a WFP está bloqueando algumas solicitações legítimas, mas configurei o firewall para permitir todas as conexões de tráfego da Web da porta 80 ... então, como elas podem ser bloqueadas?

LOG: 

The Windows Filtering Platform has blocked a packet.

Application Information:    
    Process ID:     0   
    Application Name:   -

Network Information:    
    Direction:           Inbound
    Source Address:      xxx.xxx.xxx.xxx
    Source Port:         57578
    Destination Address: xxx.xxx.xxx.xxx
    Destination Port:    80
    Protocol:            6

Filter Information:
    Filter Run-Time ID:  74587
    Layer Name:          Transport
    Layer Run-Time ID:   13
    
por Ian 10.08.2011 / 20:15

2 respostas

4

Se você realmente quiser obter o resultado final desse tipo de problema, será necessário executar uma captura WFP (Windows Filtering Platform).

Para iniciar uma captura, use o seguinte comando: 

netsh wfp capture start

Então você deve reproduzir seu problema para incluí-lo na captura. Depois disso, você usa o seguinte comando para interromper a captura: 

netsh wfp capture stop

O resultado da captura é armazenado no arquivo wfpdiag.cab no diretório atual. Acredito que este arquivo é destinado apenas para uso interno pela Microsoft, mas se você quiser, pode extrair os dois arquivos no arquivo e dar uma olhada.

O .etl pode ser aberto usando o log de eventos. No entanto, não sei como interpretar o conteúdo. O arquivo interessante é o arquivo .xml . Se você gastar algum tempo, você deve ser capaz de descobrir a estrutura do conteúdo. O que você deve procurar é o seguinte:

Filter Run-Time ID: 74587

Ao inspecionar o XML, você precisa descobrir qual filtro tem o ID de tempo de execução 74587. Isso informará qual regra no firewall bloqueou a conexão. Observe que o firewall tem algumas regras ocultas (por exemplo, regras de proteção de serviço do Firewall do Windows).

    
por 19.08.2012 / 00:50
0

Como mencionado aqui , é provável que essas entradas do Log de Eventos (com ID do evento 5152) são devido a solicitações mal-intencionadas, possivelmente enviadas por usuários legítimos de seu site que possuem máquinas infectadas por vírus. Vírus como o Code Red se propagam dessa maneira, infectando sites com o IIS. O IIS / WFP provavelmente bloqueia e registra as solicitações maliciosas.

Supondo que este seja o caso, não há muito o que fazer aqui. Se você determinar que todas as solicitações são provenientes de um IP, você pode bloquear esse IP no nível do firewall. Se eles são de todo o lugar e você não quer ser incomodado com as entradas do log de eventos mais, então você pode desativar o log de auditoria desses eventos (não que eu recomendaria necessariamente fazê-lo). Se você quiser desativar o registro, poderá usar o comando auditpol.exe .

Veja as configurações do registro de auditoria para eventos 5152 e 5153: 

auditpol /get /subcategory:"Filtering Platform Packet Drop"

Desative o log de auditoria de falhas para eventos 5152 e 5153: 

auditpol /set /subcategory:"Filtering Platform Packet Drop" /failure:disable

Mais informações sobre as Políticas de Auditoria podem ser encontradas em:
link

    
por 13.12.2011 / 19:26

Tags

Persuadindo o openldap a trabalhar com SSL no Ubuntu com cn = config RHEL6 “/ etc / sysconfig / networking” está faltando, não é possível configurar nenhum dispositivo através do system-config-network