Windows Filtering Platform blockiert Pakete für legitimen Datenverkehr

tag-icon tag-icon networking firewall windows-server-2012 windows-firewall windows
Windows Filtering Platform blockiert Pakete für legitimen Datenverkehr

Ich habe ein Problem mit dem blockierten oder gefilterten Datenverkehr von einem Webanwendungsserver zu einem Datenbankserver. Ich habe eingehenden und ausgehenden Datenverkehr auf der erforderlichen IP-Adresse und dem erforderlichen Port mit einer Firewall-Regel zugelassen, aber einige Pakete/Verbindungen werden immer noch blockiert/abgebrochen.

Im Ereignisprotokoll für das jüngste Vorkommnis sehe ich:

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:        0
    Application Name:    -

Network Information:
    Direction:        Inbound
    Source Address:        redacted-webapp-ip
    Source Port:        51888
    Destination Address:    redacted-database-ip
    Destination Port:        1433
    Protocol:        6

Filter Information:
    Filter Run-Time ID:    72605
    Layer Name:        Transport
    Layer Run-Time ID:    13

Mit der Ausgabe von netsh wfp show statekann ich diese Informationen über den Filter finden, der den Abfall verursacht hat:

<item>
    <filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey>
    <displayData>
        <name>Port Scanning Prevention Filter</name>
        <description>This filter prevents port scanning.</description>
    </displayData>
    <flags/>
    <providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
    <providerData>
        <data>ffffffffffffffff</data>
        <asString>........</asString>
    </providerData>
    <layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
    <subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
    <weight>
        <type>FWP_UINT8</type>
        <uint8>12</uint8>
    </weight>
    <filterCondition numItems="1">
        <item>
            <fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
            <matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
            <conditionValue>
                <type>FWP_UINT32</type>
                <uint32>3</uint32>
            </conditionValue>
        </item>
    </filterCondition>
    <action>
        <type>FWP_ACTION_CALLOUT_TERMINATING</type>
        <calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
    </action>
    <rawContext>0</rawContext>
    <reserved/>
    <filterId>72605</filterId>
    <effectiveWeight>
        <type>FWP_UINT64</type>
        <uint64>13835058055315718144</uint64>
    </effectiveWeight>
</item>

Kann mir jemand dabei helfen, die Ursache dafür zu ermitteln? Kann man irgendwie feststellen, was diesem Filter hinzugefügt wird/hinzugefügt wurde?

Es war keine Antivirensoftware installiert und ich konnte auch keine andere Software finden, die verdächtig aussah. Zusätzlich zum „Port Scanning Prevention Filter“ habe ich auch einen namens „Query User“ gesehen (der ähnliche Probleme verursacht), dessen Ursprung ich jedoch nicht ermitteln kann. (Auch anderer legitimer Datenverkehr außerhalb dieses Beispiels wird regelmäßig von diesen Filtertypen blockiert.)

verwandte Informationen