Memahami Jaringan Windows_WFP
Categories:
- Memahami Jaringan Windows_WFP
Memahami Jaringan Windows
- Memahami Jaringan Windows
WFP
Penjelasan Nama
https://learn.microsoft.com/en-us/windows/win32/fwp/object-model https://learn.microsoft.com/en-us/windows/win32/fwp/basic-operation https://learn.microsoft.com/en-us/windows-hardware/drivers/network
callout: Callout menyediakan fungsionalitas yang memperluas kemampuan Windows Filtering Platform. Callout terdiri dari satu set fungsi callout dan kunci GUID yang secara unik mengidentifikasi callout. callout driver: Callout driver adalah driver yang mendaftarkan callout dengan Windows Filtering Platform. Callout driver adalah jenis filter driver. callout function: Fungsi callout adalah fungsi yang dipanggil oleh Windows Filtering Platform untuk melakukan tugas tertentu. Fungsi callout dikaitkan dengan callout. filter: Filter adalah satu set fungsi yang dipanggil oleh Windows Filtering Platform untuk melakukan operasi penyaringan. Filter terdiri dari satu set fungsi filter dan kunci GUID yang secara unik mengidentifikasi filter. filter engine: Filter engine adalah komponen dari Windows Filtering Platform yang melakukan operasi penyaringan. Filter engine bertanggung jawab untuk memanggil fungsi filter yang terdaftar dengan Windows Filtering Platform. filter layer: Filter layer adalah satu set fungsi yang dipanggil oleh Windows Filtering Platform untuk melakukan operasi penyaringan. Filter layer terdiri dari satu set fungsi filter layer dan kunci GUID yang secara unik mengidentifikasi filter layer.
Antrian Dispatcher memicu callback dalam bentuk secepatnya, tidak perlu menunggu antrian penuh, sehingga dapat memenuhi real-time. Ketika callback pengguna lambat, paket yang terblokir akan dimasukkan ke antrian berikutnya sebanyak mungkin, dengan batas antrian sebanyak 256. Paket terblokir lebih lanjut disimpan dalam cache sistem, secara kasar tes menunjukkan kapasitas cache sebesar 16500, kemampuan cache sistem mungkin berbeda tergantung pada kinerja dan konfigurasi mesin. Saat pengguna menangani callback paket, terdapat dua entitas paket: Paket kernel, dilepaskan secara bersamaan setelah callback selesai memproses antrian. Oleh karena itu, ketika callback lambat, satu eksekusi callback akan mengunci maksimal 256 paket dalam kemampuan cache sistem. Salinan dalam callback dilepaskan segera setelah menangani paket tunggal.
Dalam FwppNetEvent1Callback, paket disalin dan disusun tanpa mengoperasi paket asli, sehingga tidak berdampak pada bisnis.
Berlangganan dapat menggunakan filter template untuk mengurangi paket yang perlu ditangani:
filterCondition
Sebuah array struktur FWPM_FILTER_CONDITION0 yang berisi kondisi filter yang berbeda (kondisi filter yang diduplikasi akan menghasilkan kesalahan). Semua kondisi harus benar agar aksi dilakukan. Dengan kata lain, kondisi-kondisi tersebut di-AND-kan. Jika tidak ada kondisi yang ditentukan, aksi selalu dilakukan.
Tidak dapat menggunakan filter yang sama Hubungan antara semua filter adalah “dan”, semuanya harus dipenuhi Dokumentasi Microsoft menunjukkan delapan jenis filter yang didukung, pada kenyataannya filter yang didukung akan lebih banyak.
FWPM_CONDITION_IP_PROTOCOL
Nomor protokol IP, sebagaimana ditentukan dalam RFC 1700. FWPM_CONDITION_IP_LOCAL_ADDRESS
Alamat IP lokal. FWPM_CONDITION_IP_REMOTE_ADDRESS
Alamat IP jarak jauh. FWPM_CONDITION_IP_LOCAL_PORT
Nomor port protokol transport lokal. Untuk ICMP, jenis pesan. FWPM_CONDITION_IP_REMOTE_PORT
Nomor port protokol transport jarak jauh. Untuk ICMP, kode pesan. FWPM_CONDITION_SCOPE_ID
Pengenal scope IPv6 antarmuka. Disediakan untuk penggunaan internal. FWPM_CONDITION_ALE_APP_ID
Path lengkap dari aplikasi. FWPM_CONDITION_ALE_USER_ID
Identifikasi pengguna lokal. Mengenumerasi langganan sistem yang telah terdaftar menemukan telah ada dua langganan, melihat GUID sessionKey-nya tidak dapat mengonfirmasi pendaftarnya, menganalisisnya menemukan bahwa dua langganan masing-masing menerapkan fungsi berikut:
Berlangganan semua paket FWPM_NET_EVENT_TYPE_CLASSIFY_DROP, menghitung semua paket yang dibuang. Berlangganan semua paket FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW, dapat digunakan untuk statistik lalu lintas Kedua langganan ini menggunakan filter kondisi FWPM_CONDITION_NET_EVENT_TYPE (206e9996-490e-40cf-b831-b38641eb6fcb), menunjukkan bahwa filter yang dapat menerapkan penyaringan lebih dari 8 yang disebutkan dalam dokumentasi Microsoft.
Penelitian lebih lanjut menunjukkan bahwa antarmuka panggilan pengguna hanya dapat menangkap peristiwa drop, peristiwa non-drop perlu diambil menggunakan mode kernel, oleh karena itu mikro-segregasi tidak dapat menggunakan FWPM_CONDITION_NET_EVENT_TYPE untuk mendapatkan peristiwa.