У меня Windows Server 2012, который каждые несколько секунд отправляет пакеты, предназначенные для порта 445, на локальных IP-адресах в других подсетях. IP-адреса в других подсетях, к которым он пытается подключиться, - это, например, такие устройства, как телефоны VoIP. Я понимаю, что порт 445 связан с Samba и / или службой репликации файлов, и, конечно же, телефон VoIP не должен интересоваться такими службами. Я вижу трафик, потому что наш брандмауэр, стоящий во «голове» подсетей VLAN, правильно отбрасывает пакеты.
Мне интересно, что заставляет ОС Windows Server «узнавать» о существовании этих IP-адресов и поэтому решает постоянно спамить их на порт 445. После этого я надеюсь остановить это, поскольку он заполняет мои журналы брандмауэра с шумом.
Рассматриваемый сервер является контроллером домена и первым в домене (я знаю, что PDC - устаревший термин сейчас). Возможно, это актуально.
OP указал, что он выполняет поиск в сетях, о которых сервер не должен знать. Обнаружение общего доступа к файлам SMB должно выполнять обнаружение только в локальных подключенных сетях, и мы не увидим их в журналах брандмауэра.
На будущее: я решил нашу проблему, и она была связана с брандмауэром. Он использует единый вход. Когда пользователь пытается получить доступ в Интернет из других сетей, будь то гостевая сеть или VoIP, брандмауэр пытается определить пользователя, запрашивая сервер, который затем запрашивает клиентское устройство на 445. Если клиентское устройство находится в другой подсети, мы увидеть эти отклоненные пакеты.
Это действительно старый пост, но, возможно, он будет полезен другим, поскольку изначально оставался без ответа более 3 лет.
~ Джон
Это именно то, что вы описали, обнаружение общего доступа к файлам SMB, и оно использует учетные данные от контроллера домена для поиска общих ресурсов. Если вы не используете SMB, его можно отключить, отключив службу на сервере Windows, или вы можете отфильтровать журналы в брандмауэре.