大约一周前,我们将应用程序从一台服务器移到另一台服务器(从Windows Server 2008到Windows Server 2008 R2,不同的数据中心,但是同一家公司)。 这个服务器上有12个网站,但他们都是非常低的stream量网站(每天<200点击)。
自从我们搬家后,我注意到事件 – > Windows日志 – >安全下的安全日志充满了数据包丢失。 大多数尝试访问端口25,17,或一些看似随机的端口> 1024; 它相当分散。 有些来自像Constant Contact(IP 208.75.123.132)这样有信誉的公司,有些来自我个人没有听说过的公司,例如Cogento 38.96.220.83,但看起来很有信誉。 当然,随机的IP并不特别指向任何东西。 所有这些端口都被阻塞和/或不被使用。
有这么多的这些条目(大约每秒一到两个在估计的平均值)日志填满大约一天半。 与以前的服务器,托pipe相同的网站,我可以回去两个月。
我是否inheritance了(用这个举动)一个用于知道什么的知识产权,现在所有这些服务都与我联系,期待旧服务,还是还有其他的事情呢?
有什么想法吗? 谢谢!
编辑:我应该提到这一点,事件日志中的条目都是“事件5152 – Windows筛选平台已经阻止了一个数据包”。
编辑2:这是一篇文章,涉及完全相同的问题,我经历 。 重要的一点是使用auditpol禁用审计丢弃的数据包,但也需要相当多的时间才能看到它的工作,除非你立即重新启动。 我不确定它为什么会这样,但肯定把我扔了。
编辑3:文章遗漏,对于Windows 7 / Server 2008 R2,您需要转到本地安全策略 – >本地策略 – >安全选项 – >并启用“审核:强制审核策略子类别设置(Windows Vista或更高版本)覆盖审核策略类别设置“。 默认情况下,它应该被启用,但在我的情况下,“未定义”选项不起作用,我不得不手动启用它; 更多信息在这里 。 重新启动是必需的。
你看过这篇文章吗?
Windows过滤平台阻止了一个数据包
或者我刚刚find这个段落
我发现这个问题是默认域策略下的一个隐藏的gpo设置。 计算机configuration,策略,Windows设置,安全设置,具有高级设置的Windows防火墙,域configuration文件,日志logging。 单击“自定义”,将日志丢弃的数据包和日志成功连接设置为否
你也应该阻止所有,但通过您的防火墙端口80,443 🙂
欢迎来到互联网,可能你的IP是在一个已知的高速电脑的networking设置非常好的范围内。 你会被扫描并尝试。 我的服务器上也有同样的东西,对付这个服务器是无法做到的,通常当潜在的黑客看到没有回应时,他们会在一段时间后放弃。
你总是可以尝试主动拒绝而不是丢弃,看看是否有帮助。