none
akamaiへの通信を行っているプログラムを特定するには RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    Windows 10 Enterprise で、インターネットアクセスはプロキシサーバーを用いる環境での利用をしています。
    Internet Explorerのプロキシ設定、winhttp proxyの設定ともに実施しておりますが、netstatで確認すると

    ~.deploy.static.akamaitechnologies.com:https

    に対して直接アクセスしようとしているプロセスがありました。
    このプロセスをPIDから探すと、svchost.exeでした。さらに紐づくサービスを確認すると、

    AppMgmt
    BITS
    CertPropSvc

    など、全部で18個のサービスが同一PIDで動作していました。

    これらのうち、どれがインターネットに直接アクセスしようとしているのかを調査する方法をご教示いただければ幸いです。
    よろしくお願いいたします。

    2017年11月1日 6:35
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    自己レスです。

    akamai 以外にも Microsoft に接続しようとしているプロセスがありましたが、どちらもサービスを停止することで通信が発生しなくなりました。停止したサービスは以下の2つです。

    Windows プッシュ通知システムサービス
    WinHTTP Web Proxy Auto-Discovery Service

    また、その他の調査しきれないプロセスの通信を拒否するため、ファイアーウォールでグローバル向けの通信を遮断することを検討いたしますが、本スレでの課題はいったん解決としてご報告いたします。

    ご助言ありがとうございました!

    • 回答としてマーク Micchie 2017年11月2日 4:22
    2017年11月2日 4:22
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    直接の回答ではないのですが、Windows 10 の場合メモリを 4GB 以上搭載していればサービスのプロセス分離が有効になっているので通常 18 個ものサービスが一つのプロセスで実行されることはないのですが、当該のマシンのメモリはどのくらいでしょう。

    もし何らかの理由でプロセス分離を有効にする閾値を上げているのであれば、既定値に戻すなどしてプロセス分離を有効にすれば、プロセスとサービスがかなりの部分1対1対応するので、通信を行っているサービスを特定できる可能性はあります。

    参考:http://news.mynavi.jp/column/windows/437/

    hebikuzure

    2017年11月1日 7:19
    |
  • Question
    サインインして投票
    0
    サインインして投票

    > AppMgmt
    > BITS
    > CertPropSvc

    上記サービス名の "サービス" アプレットでの表示名は、以下の通りです。

    ------------------------------
    ☆ AppMgmt      ===> "Application Management"
    ☆ BITS         ===> "Background Intelligent Transfer Service"
    ☆ CertPropSvc  ===> "Certificate Propagation"
    ------------------------------

    上記サービスは、"netsvcs" グループに属するサービスです。
    個々のサービスのホスト プロセスとなる "svchost.exe" は、同一グループに属する複数のサービスのホスト プロセスとなる場合があります。
    (異なるグループに属する複数のサービスが、同一の "svchost.exe" で実行されることはありません。)

    "サービス" アプレットでは、個々のサービスの状態 (開始/停止/一時停止/再開) およびスタートアップの種類 (自動/手動/無効) の変更が可能です。
    なので、問題のアクセスが発生している最中に、"サービス" アプレットからそれらサービスを一つづつ停止させ、その時のアクセス状態を確認すれば、どのサービスなのかを特定できると思います。
    ちなみに "サービス" アプレットは、"mmc services.msc" で起動できます。
    2017年11月1日 8:56
    |
  • Question
    サインインして投票
    0
    サインインして投票

    hebikuzure様

    コメントありがとうございます。非常に興味深い内容でした。
    今回のマシン(といっても仮想マシンですが)には4GBのメモリを割り当てておりますが、残念ながらサービスのプロセス分離は1703以降の機能のようです。今動作しているWindows10は1607なので、この機能は利用できませんが、次のバージョンアップ計画に試験項目として盛り込みたいと思います。

    2017年11月2日 1:17
    |
  • Question
    サインインして投票
    0
    サインインして投票

    お馬鹿様(ってお呼びするのためらいますw)

    コメントありがとうございます。
    やはり1個1個やるしかないですかね。地道に頑張ります!

    2017年11月2日 1:19
    |
  • Question
    サインインして投票
    0
    サインインして投票

    自己レスです。

    akamai 以外にも Microsoft に接続しようとしているプロセスがありましたが、どちらもサービスを停止することで通信が発生しなくなりました。停止したサービスは以下の2つです。

    Windows プッシュ通知システムサービス
    WinHTTP Web Proxy Auto-Discovery Service

    また、その他の調査しきれないプロセスの通信を拒否するため、ファイアーウォールでグローバル向けの通信を遮断することを検討いたしますが、本スレでの課題はいったん解決としてご報告いたします。

    ご助言ありがとうございました!

    • 回答としてマーク Micchie 2017年11月2日 4:22
    2017年11月2日 4:22
    |
  • Question
    サインインして投票
    0
    サインインして投票

    > WinHTTP Web Proxy Auto-Discovery Service

    これを停止するとその名前に反して WinHTTP だけでなく WinInet (IE や Edge などの通常のシステム プロキシ構成)でも WPAD によるプロキシ自動構成ができなくなるので、要注意です。自動構成を利用しないのであれば、問題ないとは思いますが。

    hebikuzure

    2017年11月2日 6:23
    |