Назад | Перейти на главную страницу

Платформа фильтрации Windows блокирует пакеты с рабочих станций на контроллере домена

Наш основной DNS-сервер (в соответствии с нашей конфигурацией DHCP) работает под управлением Windows Server 2008 R2 и также является одним из наших контроллеров домена.

В его журнале событий безопасности мы видим, что существуют сотни аудитов отказов в категории отбрасывания пакетов платформы фильтрации, где клиентские машины, кажется, «рассылают спам» на наш сервер пакетами NetBIOS, а также причудливыми UDP-пакетами с большим числом портов.

Когда используешь CurrPorts, Я вижу, что локальные порты, на которые направляются UDP-пакеты с большим числом портов, зарегистрированы в службе DNS. Но самое странное в них то, что пункт назначения 255.255.255.255.

Один из таких примеров:

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:     0
    Application Name:   -

Network Information:
    Direction:      Inbound
    Source Address:     <a client/workstation address>
    Source Port:        51515
    Destination Address:    255.255.255.255
    Destination Port:       51515
    Protocol:       17

Filter Information:
    Filter Run-Time ID: 69825
    Layer Name:     Transport
    Layer Run-Time ID:  13

Это NetBIOS:

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:     0
    Application Name:   -

Network Information:
    Direction:      Inbound
    Source Address:     <a client/workstation address>
    Source Port:        137
    Destination Address:    <DNS server's address>
    Destination Port:       137
    Protocol:       17

Filter Information:
    Filter Run-Time ID: 69825
    Layer Name:     Transport
    Layer Run-Time ID:  13

Я не уверен, почему блокируется разрешение имен NetBIOS ...

Я еще не производил захват пакетов, чтобы увидеть, что содержат указанные выше пакеты, предназначенные для DNS, так как мне пришлось бы отключить брандмауэр, чтобы это было возможно.

Насколько я понимаю, у меня есть следующие варианты:

В журнале безопасности нашего контроллера домена больше аудитов отказов, содержащих этот сетевой спам, чем фактического ведения журнала аутентификации из его роли AD ...

Кто-нибудь видел что-нибудь подобное раньше?

РЕДАКТИРОВАТЬ 2011-07-26: Мы также наблюдаем на том же сервере следующее, что может быть связано. Я не уверен, почему исходящие пакеты ICMP будут блокироваться, особенно на уровне имени уровня «Ошибка ICMP» ...

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:     0
    Application Name:   -

Network Information:
    Direction:      Outbound
    Source Address:     10.2.0.240
    Source Port:        0
    Destination Address:    10.2.1.46
    Destination Port:       0
    Protocol:       1

Filter Information:
    Filter Run-Time ID: 69827
    Layer Name:     ICMP Error
    Layer Run-Time ID:  32

Вероятно, это плагин AjaxAMP для Winamp.

Даже когда сервер AjaxAMP отключен и остановлен, он отправляет широковещательные сообщения примерно каждую секунду:

01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38

Полностью удалите плагин AjaxAMP (Winamp перезапустится), и все должно исчезнуть.

Я включил политику брандмауэра Windows, чтобы разрешить трафик на 137 и 138, поскольку они должны быть разрешены - после некоторого расследования не похоже, что что-то происходит.

Что касается других портов более высокого уровня, я обнаружил приложения в сети, которые отправляют другой трафик, о котором я упоминал, и постараюсь заблокировать их на стороне клиента.

Во-первых, через порт UDP 17500 поступает большой объем трафика - он используется Dropbox для обнаружения других клиентов Dropbox в сети для выполнения сетевой синхронизации, что исключает передачу данных через Интернет между пользователями в одной сети. У нас есть несколько сотрудников, которые используют Dropbox для личных вещей, отсюда и шум сети.

Другой, 51515, приходил с Winamp на одной машине. Мне еще предстоит выяснить, для чего так транслируется Winamp, но я скоро опубликую / отредактирую, если выясню.

Что касается удаления шума из журнала событий, я буду использовать эту команду:

  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

Как вообще включился аудит отказов - я не уверен!