нормально ли для аутентификации AD между рабочей станцией и сервером AD генерировать большой трафик ICMP? У меня есть система предотвращения вторжений в сеть, которая постоянно обнаруживает огромное количество ICMP / ping-трафика от AD к рабочей станции; наоборот. Настолько, что он обнаруживает их как «наводнение».
Я проверил и AD, и рабочую станцию, кажется, все в порядке. Никаких троянов, вирусов, вредоносных программ и защита конечных точек не работает нормально.
Есть какие-нибудь мнения о таком поведении? Возможные ложные срабатывания?
При типичном входе клиента в AD действительно не должно быть большого количества ICMP-трафика. На самом деле он используется только для обнаружения медленного соединения, и его вряд ли достаточно для запуска оповещения о наводнении ICMP в большинстве нормальных систем IPS.
Есть ли у вас какие-либо сценарии входа в систему, которые имеют петли проверки связи, чтобы убедиться, что серверы и сетевое соединение клиента работают перед доступом к сетевым ресурсам? Это довольно распространенный трюк, который может вызвать наблюдаемое вами поведение.
Возможно, ваш сервер AD также является вашим DHCP-сервером?
Обычно DHCP-сервер проверяет адресации перед тем, как предлагать их в качестве новой аренды.
http://technet.microsoft.com/en-us/library/dd380200(v=ws.10).aspx
Однако при этом не должно генерироваться слишком много пакетов. (Хотя, если у вас очень низкие сроки аренды и много оборота, это может проявиться.)
Возможно, вы заметили медленное обнаружение ссылки, которое делает групповая политика. Он будет передавать очень большие пакеты icmp, которые в конечном итоге фрагментируются, чтобы определить, входит ли пользователь в систему через медленное соединение или нет.
Проверять, выписываться:
http://support.microsoft.com/kb/227260
и
http://technet.microsoft.com/en-us/library/cc781031(v=ws.10).aspx