Wireshark i Zapora systemu Windows

5

Jeśli zablokuję port w Zaporze systemu Windows, a następnie spróbuję nawiązać połączenie z tym portem z innego komputera, czego powinienem oczekiwać w Wireshark?

Czy podczas uruchamiania wireshark na maszynie docelowej („serwer” z powodu braku lepszego terminu) powinienem zobaczyć:

  1. Brak połączeń przychodzących lub wychodzących (czego oczekiwałbym od zapory sprzętowej)
  2. Próba połączenia przychodzącego, ale brak połączenia wychodzącego

W tej chwili widzę # 2 - Widzę próbę połączenia przychodzącego, ale nigdy nie widzę żadnej odpowiedzi z komputera.

Czy takie powinno być oczekiwane zachowanie?

windows-7 wireshark windows-firewall Mark Henderson
źródło

Odpowiedzi:

1

Gdzie działa Wireshark, na maszynie docelowej lub na maszynie źródłowej? Jeśli działa na maszynie źródłowej, oczekiwałbym, że zobaczę zachowanie jak w punkcie 2. Powinieneś zobaczyć połączenie wychodzące z maszyny źródłowej w Wireshark, ale nie będzie ruchu powrotnego. Jestem ciekawy, czy Zapora systemu Windows wysyła RST, gdy blokuje połączenia przychodzące, czy po cichu przerywa połączenie?

Pomyśl o tym, a może spodziewam się, że zobaczę zachowanie jak w # 2 na komputerze docelowym, ponieważ połączenie przychodzące musi zostać zainicjowane, zanim zapora systemu Windows wykona swoje zadanie. Nie może zablokować połączenia, które jeszcze nie dotarło do maszyny docelowej i do warstwy 3.

joeqwerty
źródło
Ponadto, po wyglądzie, po cichu przerywa połączenie, ponieważ absolutnie nie ma ruchu wracającego do źródłowego adresu IP, nawet powiadomienia o odrzuceniu.
Mark Henderson
Ma to sens w oparciu o moje założenie z drugiego akapitu. Wireshark działa od warstwy 2 i wyższych, podczas gdy zgaduję, że zapora systemu Windows działa na poziomie 3 i wyższych (prawdopodobnie dlatego możesz tworzyć reguły, które działają tylko na warstwach 3 i wyższych, a nie na poziomie 2). Wireshark widzi połączenie na warstwach 2 i 3 przed zadziałaniem zapory systemu Windows. Gdy zapora systemu Windows zadziała na połączenie, zabija je (nie wiem, jakiej metody używa), więc Wireshark nie widzi nic więcej.
joeqwerty
@Farseeker: Dziękujemy za zaakceptowanie mojej odpowiedzi. Fajnie jest mieć kogoś, kto ma wiedzę techniczną, którą podziwiam.
joeqwerty
Podziwiać? Cóż, jest takie słowo, które chyba nie słyszałem wcześniej w moim kierunku. W każdym razie twój przedstawiciel ServerFault wygląda całkiem zdrowo :) Byłem zaskoczony, widząc cię tutaj szczerze mówiąc, spodziewałem się innej grupy użytkowników!
Mark Henderson
Tak, nie przychodzę tu zbyt często. Wczoraj chyba był fuks. ;)
joeqwerty
1

Tak myślałbym. Zapora jest oprogramowaniem w systemie operacyjnym. Pakiet wciąż musi wejść do komputera, przechodzić przez stos sieciowy, aż trafi na zaporę ogniową, w którym to momencie jest akceptowany i przekazywany lub odrzucany i blokowany. Spodziewałbym się takiego zachowania.

Teraz, jeśli zapora istniała między Internetem a twoim komputerem, nie zobaczysz nic w Wireshark, jeśli ta zewnętrzna zapora zablokuje pakiet (y).

tcv
źródło
Podejrzewałem tak samo. Nigdy tak naprawdę nigdy nie polegałem na zaporze systemu Windows, zwykle używam zapory sprzętowej
Mark Henderson
0

Powinieneś otrzymać próbę połączenia przychodzącego, ponieważ zapora blokuje pakiety, więc maszyna nie będzie odpowiadać na żądanie.

Jan
źródło