Наш основной DNS-сервер (в соответствии с нашей конфигурацией DHCP) работает под управлением Windows Server 2008 R2 и также является одним из наших контроллеров домена.
В его журнале событий безопасности мы видим, что существуют сотни аудитов отказов в категории отбрасывания пакетов платформы фильтрации, где клиентские машины, кажется, «рассылают спам» на наш сервер пакетами NetBIOS, а также причудливыми UDP-пакетами с большим числом портов.
Когда используешь CurrPorts, Я вижу, что локальные порты, на которые направляются UDP-пакеты с большим числом портов, зарегистрированы в службе DNS. Но самое странное в них то, что пункт назначения 255.255.255.255
.
Один из таких примеров:
The Windows Filtering Platform has blocked a packet. Application Information: Process ID: 0 Application Name: - Network Information: Direction: Inbound Source Address: <a client/workstation address> Source Port: 51515 Destination Address: 255.255.255.255 Destination Port: 51515 Protocol: 17 Filter Information: Filter Run-Time ID: 69825 Layer Name: Transport Layer Run-Time ID: 13
Это NetBIOS:
The Windows Filtering Platform has blocked a packet. Application Information: Process ID: 0 Application Name: - Network Information: Direction: Inbound Source Address: <a client/workstation address> Source Port: 137 Destination Address: <DNS server's address> Destination Port: 137 Protocol: 17 Filter Information: Filter Run-Time ID: 69825 Layer Name: Transport Layer Run-Time ID: 13
Я не уверен, почему блокируется разрешение имен NetBIOS ...
Я еще не производил захват пакетов, чтобы увидеть, что содержат указанные выше пакеты, предназначенные для DNS, так как мне пришлось бы отключить брандмауэр, чтобы это было возможно.
Насколько я понимаю, у меня есть следующие варианты:
В журнале безопасности нашего контроллера домена больше аудитов отказов, содержащих этот сетевой спам, чем фактического ведения журнала аутентификации из его роли AD ...
Кто-нибудь видел что-нибудь подобное раньше?
РЕДАКТИРОВАТЬ 2011-07-26: Мы также наблюдаем на том же сервере следующее, что может быть связано. Я не уверен, почему исходящие пакеты ICMP будут блокироваться, особенно на уровне имени уровня «Ошибка ICMP» ...
The Windows Filtering Platform has blocked a packet. Application Information: Process ID: 0 Application Name: - Network Information: Direction: Outbound Source Address: 10.2.0.240 Source Port: 0 Destination Address: 10.2.1.46 Destination Port: 0 Protocol: 1 Filter Information: Filter Run-Time ID: 69827 Layer Name: ICMP Error Layer Run-Time ID: 32
Вероятно, это плагин AjaxAMP для Winamp.
Даже когда сервер AjaxAMP отключен и остановлен, он отправляет широковещательные сообщения примерно каждую секунду:
01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38
Полностью удалите плагин AjaxAMP (Winamp перезапустится), и все должно исчезнуть.
Я включил политику брандмауэра Windows, чтобы разрешить трафик на 137 и 138, поскольку они должны быть разрешены - после некоторого расследования не похоже, что что-то происходит.
Что касается других портов более высокого уровня, я обнаружил приложения в сети, которые отправляют другой трафик, о котором я упоминал, и постараюсь заблокировать их на стороне клиента.
Во-первых, через порт UDP 17500 поступает большой объем трафика - он используется Dropbox для обнаружения других клиентов Dropbox в сети для выполнения сетевой синхронизации, что исключает передачу данных через Интернет между пользователями в одной сети. У нас есть несколько сотрудников, которые используют Dropbox для личных вещей, отсюда и шум сети.
Другой, 51515, приходил с Winamp на одной машине. Мне еще предстоит выяснить, для чего так транслируется Winamp, но я скоро опубликую / отредактирую, если выясню.
Что касается удаления шума из журнала событий, я буду использовать эту команду:
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
Как вообще включился аудит отказов - я не уверен!