ドロップされたパケットの確認 (Windows Firewall)

Windows Firewallで送信あるいは受信で許可されていない場合には、パケットはドロップ(破棄)されます。
デフォルトではドロップされたパケットはログファイルに記録されませんが、設定を変更することによりドロップパケットをファイルに記録することが可能です。

第一章 Windows ファイアウォールの特徴
第二章 設定方法
第三章 規則の作成(FTPクライアント)  規則の作成(時刻同期) 規則の作成(Windows Update:更新プログラム) 規則の作成(インターネットエクスプローラ) 規則の作成(DHCP,DNS)
第四章 ドロップされたパケットの確認

スポンサード リンク

プロパティより「ログ」で「カスタマイズ」をクリックします。

Windows Firewallのログ記録

破棄されたパケットをログに記録する」で「はい」に設定します。

破棄されたパケットをログに記録

必要に応じて各プロファイル「ドメインプロファイル」「プライベートプロファイル」「パブリックプロファイル」で設定します。

デフォルトのWindows Firewall のログファイルは以下の通りです。

C:\windows\system32\LogFiles\Firewall\pfirewall.log

以下は PINGの受信を破棄した場合のログファイルのサンプルです。

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

2016-03-06 02:55:08 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:08 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:13 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:13 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:18 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:18 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:23 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE
2016-03-06 02:55:23 DROP ICMP 192.168.11.3 192.168.11.2 - - 60 - - - - 8 0 - RECEIVE

(*)一部のIPアドレスは x.x.x.x に変更しています。

ログファイルの各項目は以下の通りです。

項目 内容
date 記録されログの日付。
time 記録されログの時間。
action OPEN・・・通信の開始
CLOSE・・・通信の終了
DROP・・・ブロック(ドロップ、拒否、破棄)したパケット。通信は行われていません。
INFO-EVENTS-LOST・・・記録できなかったログ数。
protocol TCP、UDP、ICMP 、その他番号 (IGMP、Internet Group Managementは2番など)
src-ip 送信元(パケットを送付した機器)のIPアドレス。
dst-ip 送信先(パケットの送信先の機器)のIPアドレス。
src-port 送信元のポート。範囲は1 〜 65,535です。TCP/UDP以外はポート番号は無いため−が表示されます。
dst-port 送信先のポート。範囲は1 〜 65,535です。TCP/UDP以外はポート番号は無いため−が表示されます。
size パケットサイズです。単位はバイトです。
tcpflags RFC 793で定義された、IP パケットのTCP ヘッダーに設定されたTCP制御フラグです。
A・・・Ack 受信確認フィールド
F・・・Fin 送信側のデータ送信終了
P・・・Psh 強制送信
R・・・Rst 強制切断
S・・・Syn シーケンス番号の同期
U・・・Urg 緊急ポインタフィールド

tcpsyn TCP シーケンス番号。
tcpack TCP 受信確認番号。
tcpwin TCP ウィンドウ サイズです。単位はバイトです。
icmptype ICMP メッセージの Type フィールド。
icmpcode ICMP メッセージの Code フィールド。
info その他情報。
path SEND(送信のイベント)、RECEIVE(受信のイベント)など。



以下は各プロトコルをブロックした場合のログ出力のサンプルです。

telnet 送信をブロック

ftp送信をブロック

smtp送信(port 465)をブロック

http送信をブロック

PING受信をブロック

参考:ホームルータからのポートスキャンに関して

スポンサード リンク