Файл журнала брандмауэра Windows
Чтобы определить, отклоняет ли данный компьютер входящие пакеты, включите ведение журнала брандмауэром Windows локально либо через групповую политику.
В файл Pfirewall.log, по умолчанию находящийся в корневой папке Windows, в зависимости от параметров (Settings) ведения журнала безопасности (Security Logging) из вкладки Дополнительно (Advanced) диалогового окна Брандмауэр Windows, либо от параметров, заданных установкой групповой политики брандмауэра Windows Разрешать ведение журнала (Windows Firewall: Allow logging), записываются как отклоненные входящие запросы, так и успешные соединения. Содержание файла Pfirewall.log помогает, не задавая исключения и не разрешая сообщения ICMP, определить, принимается ли трафик компьютером, на котором работает брандмауэр Windows.
Например, если установить флажок Записывать пропущенные пакеты (Log dropped packets), то весь непринятый входящий трафик будет отмечаться в файле Pfirewall.log. Просмотреть этот файл можно, открыв его двойным щелчком в корневой папке Windows с помощью Проводника Windows (Windows Explorer). Содержание файла журнала помогает определить случаи, когда трафик, дошедший до Вашего компьютера, не был допущен брандмауэром Windows.
Ниже приведен пример содержания файла Pfirewall.log:
Примечание
Некоторые строки кода перенесены для удобства чтения.
#Version: 1.5 #Software: Microsoft Windows Firewall #Time Format: Local #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path 2004-07-08 15:22:30 DROP UDP <a href="http://157.60.137.221">157.60.137.221</a><a href="http://255.255.255.255">255.255.255.255</a> 3134 712 88 - - - - - - - RECEIVE 2004-07-08 15:22:31 DROP UDP <a href="http://157.60.138.21">157.60.138.21</a><a href="http://239.255.255.250">239.255.255.250</a> 3289 1900 161 - - - - - - - RECEIVE 2004-07-08 15:22:34 DROP UDP <a href="http://157.60.138.21">157.60.138.21</a><a href="http://239.255.255.250">239.255.255.250</a> 3289 1900 161 - - - - - - - RECEIVE 2004-07-08 15:22:35 DROP UDP <a href="http://157.60.138.134">157.60.138.134</a><a href="http://239.255.255.250">239.255.255.250</a> 3507 1900 161 - - - - - - - RECEIVE 2004-07-08 15:22:37 DROP UDP <a href="http://157.60.138.21">157.60.138.21</a><a href="http://239.255.255.250">239.255.255.250</a> 3289 1900 161 - - - - - - - RECEIVE 2004-07-08 15:22:37 DROP UDP <a href="http://157.60.136.211">157.60.136.211</a><a href="http://239.255.255.250">239.255.255.250</a> 4274 1900 161 - - - - - - - RECEIVE 2004-07-08 15:22:38 DROP UDP <a href="http://157.60.138.134">157.60.138.134</a><a href="http://239.255.255.250">239.255.255.250</a> 3507 1900 161 - - - - - - - RECEIVE 2004-07-08 15:22:38 DROP UDP <a href="http://192.168.0.1">192.168.0.1</a><a href="http://239.255.255.250">239.255.255.250</a> 1900 1900 280 - - - - - - - RECEIVE
В следующей таблице приводятся названия и описания полей в записях журнала брандмауэра Windows.
| Поле | Описание |
|---|---|
| date | Отображает год, месяц и день принятия пакета. Даты записываются в виде ГГГГ-ММ-ДД, где ГГГГ – год, ММ – месяц, ДД – день. |
| time | Отображает час, минуту и секунду принятия пакета. Время записывается в виде ЧЧ:ММ:СС, где ЧЧ – часы в 24-часовом формате, ММ – минуты, СС – секунды. |
| action | Обозначает операцию, зарегистрированную брандмауэром. Возможные значения – OPEN, CLOSE, DROP (открытие, закрытие, отклонение) и INFO-EVENTS-LOST. Значение INFO-EVENTS-LOST присваивается, если событие имело место, но не было записано в журнале. |
| protocol | Отображает название протокола, использовавшегося при соединении. Это может быть TCP, UDP, ICMP или код из поля протокола в IP-заголовке непринятого пакета. |
| src-ip | Отображает IP-адрес отправителя пакета. |
| dst-ip | Отображает IP-адрес получателя пакета. |
| src-port | Отображает номер порта, с которого был послан пакет, в TCP или UDP заголовке пакета. Запись в поле src-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP. |
| dst-port | Отображает номер порта, на который пакет был послан, в TCP или UDP заголовке пакета. Запись в поле dst-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP. |
| size | Отображает размер пакета в байтах |
| tcpflags | Отображает контрольные флаги TCP заголовков:
|
| tcpsyn | Отображает номера сегментов TCP в TCP заголовке. |
| tcpack | Отображает номер следующего октета в TCP заголовке. |
| tcpwin | Отображает размер окна TCP в TCP заголовке. |
| icmptype | Отображает тип сообщения ICMP в ICMP заголовке. |
| icmpcode | Отображает код ICMP в ICMP заголовке. |
| info | Информационное поле, запись в котором зависит от типа зарегистрированной операции. Например, при операции INFO-EVENTS-LOST запись содержит число, соответствующее количеству событий, произошедших, но не записанных с момента последнего случившегося события данного типа. |
| path | Отображает направление движения пакета. Принимает значения SEND (для отправленных пакетов), RECEIVE (для принятых пакетов) и FORWARD (для перенаправленных пакетов). |
Дефис обозначает отсутствие информации для записи в данном поле.
Содержание файла Pfirewall.log может также помочь при выявлении случаев сканирования Вашего компьютера злонамеренными пользователями Интернета.