Jump to content

Unsichtbare Protokolle von Ethernet Adapter


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Leute,

 

Dem Netzwerkadapter sind ja teilweise mehr Protokolle zugewiesen als in der GUI ersichtlich sind. Unter anderem

 

ms_wfplw (WSP Lightweight Filter in Windows 7)

ms_wfplwf_upper (Lightweight Filter für WFP 802.3-MAC Schicht - Sicher ab W10 evtl. ab 8)

ms_wfplwf_lower (Lightweight Filter für systemeigene MCA-Schicht - Sicher ab W10 evtl. ab 8)

 

Kann mir jemand sagen was diese Protokolle genau bewirken bzw. wenn sie enabled oder disabled sind? Standardmässig sind sie aktiviert.

Im Netz fand ich eigentlich nur heraus, dass sie zur Windows Filtering Plattform gehören. Also der Windows Firewall.

 

Heisst Disabled evtl. es gibt kein Paketfiltering mehr und Pakete werden direkt weitergeleitet?

Warum wird in W10 in upper und lower unterschieden? Wofür gelten selber erstellte Regeln?

 

Dann gibts noch folgende Protokolle die ich ned genau zuordnen kann:

ms_pppoe - Point to Point Protokoll über Ethernet

ms_ndisuio - NDIS Benutzermodus-E/A Protokoll

ms_ndiscap - Microsoft NDIS Aufzeichnung (Sicher ab W10, evtl. auch ab 8)

 

Zweck sowie ob man sie abschalten kann.

 

Wäre cool wenn hier jemand Lektüre dazu hätte.

 

Gruss und Danke

Link to comment

Danke für die Links. Habe mich mal quergelesen. Obwohl es sehr interessant war, wurden meine Fragen leider noch nicht so richtig beantwortet oder ich habe es ned verstanden =)

 

Tendiere im moment dazu, dass die Filtereinheit wohl übergangen wird, wenn die Protokolle in den entsprechenden Netzadapter fehlen. So ganz klar ersichtlich war es aber nicht.

 

Falls dem so wäre, wäre es schon recht erstaunlich, wenn dann die meisten Build-In Miniports, Tunneladapter, Isatap etc. das bzw. die Protokolle nicht aktiviert haben.

In W8/2012 sind dann die IP-Tunnels mit dem Lower-Protokoll ausgerüstet nicht jedoch mit dem Upper. Was wiederum die Frage aufwirft, ob beim Lower-Protokoll eigene Regeln links liegen gelassen werden oder nicht.

In W10 fehlen die IPv6 Tunnels als eigenständiges Protokoll wie in 2012. Ebenso die ganzen Adapter zu Miniports etc. Zumindest in den LTSB Version. Ne andere habe ich noch nicht geprüft.

 

Ndiscap ist ab W10 standarmässig aktiviert, in allen OS davor deaktiviert. Was dies macht?

Link to comment

Hallo,

ppoe ist für die DSL Einwahl. Ohne jetzt eine profunde Gesamterläuterung dazu abgeben zu können bleibt nur meine Meinung, das es wenig Sinn macht zumindest ppoe an isatap zu binden da ppoe ja sozusagen "drunter" läuft.

PPOE Einwahl über ISATAP hoert sich schon ein bisschen unanständig an. Soll heissen, ich kann mir nicht vorstellen das das geht, aber vermutlich hat schon irgendjemand genau das dringend gebraucht und irgendwo ein Tool/Treiber dafür veröffentlicht ...

cap ist capture und soll wohl das mitschneiden/protokollieren erlauben.

Zu meiner Schande muss ich gestehen das ich hierzu noch die Win 3.11 Netzwerkkonfig im Kopf habe, in der wurden "Dienstprotokolle" an Netzprotokolle gebunden und nicht Netzprotokolle an Dienstprotokolle.

Wenn ein Protokoll deaktiviert ist gibt es nichts zu filtern.

zu NDIS https://de.wikipedia.org/wiki/Network_Driver_Interface_Specification

Uralt der Kram.

Zu allem seit Win 7 fällt mir nur noch ein, das den Herstellern so langsam die verständlichen Namen ausgehen zu den Dingen die sie so produzieren. Also werden nur noch alte Namen in beliebiger Anordnung zusammengepappt, deren Abkürzung wird mit anderen neuen Abkürzungen gepaart, dann gibts nen White Paper und alle sind happy.

Forsch doch mal ein bisschen nach dem Kram, deine Fragen lesen sich ein bisschen als haettest du ungeheuerliches entdeckt, das kann ich nicht glauben.

Link to comment

Der erste werde ich wohl kaum sein dem das auffällt. So wahnsinnig viele dürfte es aber noch nicht interessiert haben, man findet fast gar keine Infos über die einzelnen unsichtbaren Protokolle. Google spuckt nur jeweils ne handvoll Ergebnisse raus. Auf russisch gibts nen paar Seiten, aber A verstehe ich das nicht und B habe ich da ein paar Fragezeichen. Wird also nicht angesurft =)

 

Die Sensation und ungeheuerlich wird es kaum sein. Da ich aber gerne zumindest im Ansatz verstehe wie Basistechnologien - insbesondere die Firewall und die Filtereinheit- implementiert sind, würde mich das eben interessieren. PPOE ist nicht aktiviert auf den ISATAP-Adaptern. Aber auf den normalen.

 

 

Mit den neuen Powershell-Modulen in W10 mit dem sich das Protokoll-Binding auf sehr einfache Weise anpassen lässt, sind die versteckten Protokolle jedenfalls weder sichtbar noch mutierbar. Der sagt, sie existieren nicht. Also auch nicht als versteckte Flags. In der Registry sind die Bindings aber via der Device-ID klar erkennbar. Nach einiger weitergehenden Recherche bin ich dann auf das Tool Nvspbind gestossen, welches einem das mühsame manuelle rauskramen erspart und (noch) sämtliche Protokolle gelistet werden.

 

 

Wass PPOE grundsätzlich macht verstehe ich schon, was ich nicht verstehe, wozu ich das im normalen Firmenumfeld tatsächlich brauchen sollte und warum der Kram versteckt und standardmässig aktiv ist.

Das NDIS-Capture irgendwas einfängt/aufzeichnet/weiterleitet zur Aufzeichnung ist mir auch klar. Unklar ist mir, warum es vorher standardmässig aus war und ab W10 ein. Und wenn es aufgezeichnet wird, wo der Krempel abgelegt wird usw. Sowie ob es Unterschiede zu AD und Workgroup Umgebungen gibt.

 

Werde noch ein paar weitere Tests machen. Insbesondere ob die Firewall-Filterung tatsächlich an den Protokollen hängt oder diese allenfalls nur Logging-Zwecke haben sowie was es mit dem Capturing auf sich hat. Falls der Traffic dann trotz Blockregel funktioniert wäre das schon ziemlich krank. Insbesondere weil die Tunnel-, WAN und ISATAP-Adapter dann wirklich an der Firewall vorbeigehen würden. Dann wiederum müsste man sich fragen, wie das wohl unter W10 implementiert wurde weil die zusätzlichen Adapter ja fehlen (zumindest in LTSB). Aber das ist im Moment alles nur reinste Spekulation.

 

Falls also jemand doch noch etwas mehr Infos hat, wäre es cool nicht alles ber Try and Error herausfinden zu müssen. Eigentlich wollte ich ja nur mein allgemeines Konfig-Script so erweitern, dass es mir die Bindings für IPv6, Topologieerkennung etc. auf Wunsch aktiviert/deaktiviert und ich mir die GUI-Klickerei zukünftig ersparen kann.

Edited by Weingeist
Link to comment

Moin,

 

vor langer Zeit hab ich im Gerätemanager unter Netzwerkinterfaces die nicht angezeigten Protokolle oder Geräte entdeckt. Ich hatte damals die Hoffnung, durch Deaktivieren/Deinstallieren von überflüssigen Dingen an den etwas schwachbrüstigen Rechnern die Leistung zu verbessern. Ich hab da viel Mühe und Zeit investiert, am Ende erkennen, sinnlos gewesen. Ich hab dann im Gerätemanager die wirklich überflüssigen Dienst deaktiviert, dass war effektiv.

 

Die Protokolle werden wohl bei Bedarf aktiv, sonst wohl nicht, vermute ich jedenfalls.

Edited by lefg
Link to comment

Also bezüglich der WFPLWF Protokolle der Ethernet-Adapter bin ich etwas weiter.

1. Die Blockierregeln der Windows Firewall scheinen trotzdem zu funktionieren. Ping läuft auf alle Fälle nimmer.

2. via Auditpol gesetztes Loggings im Security funktioniert trotzdem

3. via dem Windows-Firewall gesetztes Log funktioniert trotzdem

 

Was der Kram nun macht, weiss ich aber trotzdem noch nicht. Jemand ne Idee?

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...