[port139ml:05044] Re: Port Reporter tool

[Kenji Yamamoto <routing@xxxxxxxxxxxxxxx>]

山本です。ざっと確認してみました。

どうでもいいけど、このサービス、起動に結構な時間がかかりますね。
PID 取ったり INITIAL と名前の付くログに落とすようなプロセス情報
を引っ張ってくるからでしょうか。

|Subject: [port139ml:05040] Port Reporter tool
|From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
|Date: Fri, 19 Mar 2004 09:19:23 +0900
|Message-Id: <20040319091609.35FE.HIDEAKI@xxxxxxxxxxxxx>
|User-Agent: Becky! ver. 2.05.11

|Availability and description of the Port Reporter tool
|http://support.microsoft.com/?id=837243
|
|プロセス情報取れるのは嬉しいですね。

DLL やら、サービスっぽいのかどうか、サービスならどのサービスか、っ
て特定できるので、デバッグ目的には便利ですね。例えば、わかとのさん
とも話してたんですが、ワームに感染してそうなマシンでプロセスを拾
うとか。

|ところでこれって、TCP/UDP ポートの動作を記録するもので、ICMP 
|やら IP レベルのログは取れないんですよね?

これできないようですね。事前共有キーで認証する形の、デフォからフィ
ルタ内容を変えていない簡易なものを使って試してみたんですが、 TCP 
確立済み通信のログと、待ち受けポート以外には有意な情報が見えません
でした。Ping 打ち続けてたんですが、記録されず。(find つかってざっ
と確認しただけだから、抜けがあるかもしれませんが。)

|#IPsec の通信とか記録されないのかな?ISAKMP(500/udp)は残る
|#と予想してますが。

IPSec の初期化で使う通信も確認できず。(汗
lsass.exe が 500/UDP で待ち受けてることは、確認できたのですが。

ここらへんから考えるに、このツールがいる場所って、ユーザモードの
各種フィルタよりもすこし上辺りのようですね。だからこそ、フィルタ
しちゃったものは拾えない、ということで。
# 一番欲しいのが、そのフィルタアウトされたパケットの情報だっつうに

以上

山本謙次 [MVP]

-- 
JWNTUG Security & IIS  ML http://www.jwntug.or.jp/index-j.html
Kenji Yamamoto, Microsoft MVP (Security; Windows Server Systems), MCP+I, MCSE (TCP/IP, IIS4, IEAK4)
TechNet ITPro Security Community: http://www.microsoft.com/technet/security/community/mvp/default.mspx
mailto:ethernet@xxxxxxxxxxxxxxx