概要
侵入防御(DPI)イベントに「プロトコルデコードの制約エラー / Protocol Decoding Constraint Error」が発生します。このイベントが発生した場合の対応方法を教えてください。
詳細
発生理由
侵入防御の機能によって通信プロトコルを解析(デコード)する際に、解析に失敗した場合に発生します。これは通常次のいずれかの場合に発生します。
- プロトコル上不正なデータが含まれている場合
- ルールの解析対象とは別のプロトコルの通信を検査しようとしている場合(例えば、SMBではない通信をSMBプロトコルとして検査しようとしている場合)
解析に失敗するとパケットデータの検査を継続できず、攻撃パケットを検出できない可能性があるため、このイベントが記録されてパケットがブロックされます。
なお、本イベントが発生した場合、単一のパケットに対して「ログ」と「リセット」の二つのイベントが発生します。「リセット」のイベントには実際のパケットデータが記録され、「ログ」のイベントにはデバッグ情報が記録されます。このデバッグ情報は、このイベントが製品の想定外のデータを受信した際に起こるものであるために記録されます。
回避方法
A) 上記1.の場合
通信が発生したコンピュータを調査して不正な通信が行われた原因を特定し、問題を解決してください。
B) 上記2.の場合
イベントが発生した通信ポートをアプリケーションの種類から削除して、該当の通信を解析しないように設定してください。
この設定を行うと、削除したポートには本イベントだけでなく対応するアプリケーションの種類に紐づく全てのルールでの検査が行われなくなります。
- 設定を行いたいコンピュータまたはポリシーの詳細から[侵入防御(Deep Packet Inspection)]メニューを開き、イベントが発生したポートに割り当てられているルールを右クリックし、[アプリケーションの種類プロパティ]を開きます。
- 「ポート」の設定で「継承」をオフにして、検査を回避したいポートを削除します。なお、「ポート」の設定がポートリストで設定されている場合は、該当のポートリストからポートを削除します。
C) 暫定回避をしたい場合
原因の調査過程などで、暫定的にこのイベントを発生させないようにしたい場合は、以下の手順でプロトコルの解析を無効にすることができます。
プロトコルの解析を無効にした場合、プロトコル解析機能に依存する侵入防御ルールでは攻撃パケットの検出ができなくなります。調査や対応が完了した際には必ずプロトコルの解析を有効にしてください。
- 設定を行いたいコンピュータまたはポリシーの詳細から[侵入防御(Deep Packet Inspection)]メニューを開き、イベントが発生したポートに割り当てられているルールを右クリックし、[アプリケーションの種類プロパティ]を開きます。
- [設定]タブで「継承」をオフにして、「Enable Decoder」をオフにします。
問題の報告
正常な通信に対してこのイベントが発生している場合は、ルールでのプロトコル解析に問題がある可能性があります。下記リンク先に記載の調査に必要な情報を取得してご報告ください。
