Wireshark и брандмауэр Windows

5058
Mark Henderson

Если я заблокирую порт в брандмауэре Windows, а затем попытаюсь подключиться к этому порту с другого компьютера, что мне следует ожидать в Wireshark?

При запуске wireshark на целевом компьютере («сервер» из-за отсутствия лучшего термина) я должен увидеть:

  1. Нет входящих или исходящих соединений (что я и ожидал бы с аппаратным брандмауэром)
  2. Попытка входящего соединения, но без исходящего

В данный момент я вижу # 2 - я вижу попытку входящего соединения, но я никогда не вижу ответа от машины.

Должно ли это быть ожидаемым поведением?

4

3 ответа на вопрос

1
tcv

Я бы так подумал. Брандмауэр является программным обеспечением внутри O / S. Пакет все еще должен поступать в машину, пузыриться в сетевом стеке, пока не достигнет брандмауэра, после чего он будет принят и передан или отклонен и заблокирован. Я ожидал бы такого поведения.

Теперь, если брандмауэр существует между Интернетом и вашей машиной, вы ничего не увидите в Wireshark, если этот внешний брандмауэр заблокирует пакет (ы).

Я так и подозревал. Я никогда прежде не полагался на брандмауэр Windows, я обычно использую аппаратный брандмауэр Mark Henderson 14 лет назад 0
1
joeqwerty

Где работает Wireshark, на конечном компьютере или на исходном компьютере? Если он работает на исходной машине, я ожидаю увидеть поведение, как в # 2. Вы должны увидеть исходящее соединение с исходной машины в Wireshark, но никакого обратного трафика. Мне любопытно, брандмауэр Windows отправляет RST, когда он блокирует входящие соединения, или он молча обрывает соединение?

Если подумать, я мог бы ожидать увидеть поведение как на # 2 на целевом компьютере, а также из-за того, что входящее соединение должно быть инициировано, прежде чем брандмауэр Windows сможет выполнить свою работу. Он не может заблокировать соединение, которое еще не достигло конечного компьютера и до уровня 3.

Кроме того, судя по всему, он молча разрывает соединение, потому что нет абсолютно никакого трафика, возвращающегося к исходному IP, даже уведомления об отказе. Mark Henderson 14 лет назад 0
Это имеет смысл, исходя из моего предположения во втором абзаце. Wireshark работает от уровня 2 и выше, хотя я предполагаю, что брандмауэр Windows работает на уровне 3 и выше (возможно, поэтому вы можете создавать правила, которые работают только на уровнях 3 и выше, а не на уровне 2). Таким образом, Wireshark видит соединение на уровнях 2 и 3, прежде чем брандмауэр Windows начнет действовать. Как только брандмауэр Windows воздействует на соединение, он его убивает (я не знаю, какой метод он использует), и поэтому ничего не возвращается в стек, чтобы Wireshark мог его увидеть. joeqwerty 14 лет назад 0
@ Farseeker: Спасибо, что приняли мой ответ. Приятно иметь кого-то, кто разбирается в технических вопросах, которым я восхищаюсь, дать мне большие пальцы. joeqwerty 14 лет назад 0
Полюбуйтесь? Ну, есть слово, которое я не думаю, что слышал в моем направлении раньше. В любом случае ваш представитель ServerFault выглядит ** вполне ** здоровым :) Я был удивлен, увидев вас здесь, если честно, я ожидал другую группу пользователей! Mark Henderson 14 лет назад 0
Да, я не часто бываю здесь. Я думаю, вчера была случайность. ;) joeqwerty 14 лет назад 0
0
John

Вы должны получить попытку входящего соединения, потому что брандмауэр заблокировал пакеты, поэтому у машины не будет ответа на запрос.