服务器 Gind.cn
  1. 服务器 Gind.cn
  3. AD身份validation产生大量的ICMPstream量是否正常?
Intereting Posts
TCP 3-way-handshake第三步的目的是什么 如何确定是什么原因导致stream量突然增加到我的AWS服务器? 发件人地址被拒绝:未find域 – 在Route 53(Amazon AWS)更改之后 DFS-R在克隆后创build了相同文件的420万文件积压 仅在某些目录中破坏文件名中的字符 托pipe多个Python或Djangonetworking应用程序 – 在服务器上需要build议strucutre / architechture 是否有一个良好的监控,警报工具与故障票务系统+重复数据删除和智能抑制警报? Windows生产服务器环境。 – 我需要知道什么? 如何用损坏的模型数据库启动MSSQL服务器 我该如何改进从Citrix应用程序与本地文件系统交互的体验? 服务器发回自己的IP而不是代理的IP 如何最好地调整Linux开发机器? Youtubestream媒体(地理位置) 为什么我的HyperV虚拟机随机丢失连接? 当不从服务器本身发送时,中继访问被拒绝

AD身份validation产生大量的ICMPstream量是否正常?

工作站和AD服务器之间的AD身份validation是否正常以生成大量ICMP通信? 我有一个networking入侵防御系统,能够不断检测AD到工作站的大量ICMP / pingstream量; 反之亦然。 如此之多,以致于将它们检测为“洪水”攻击。

我已经检查了广告和工作站似乎都很好。 没有木马,病毒,恶意软件和端点保护工作正常。

对这种行为有何看法? 可能的误报?

在典型的客户端login到AD时,实际上不应该有太多的ICMPstream量。 它实际上只用于慢速链接检测,在大多数正常的IPS系统上触发ICMP洪水警报是不够的。

你有没有任何login脚本有ping循环,以确保在访问networking资源之前服务器和客户端networking链接已经启动? 这是一个很常见的伎俩,可能会导致你看到的行为。

也许你的AD服务器也是你的DHCP服务器?

DHCP服务器在将地址作为新租约提供之前,先ping地址,这是很常见的。

http://technet.microsoft.com/en-us/library/dd380200(v=ws.10).aspx

但是,这不应该产生太多的数据包。 (虽然如果你的租约时间很短,而且很多转机,它可能会出现。)

您可能会看到组策略的慢速链接检测。 它将传输非常大的icmp数据包,最终得到碎片,以确定用户是否通过慢速链接login。

查看:

http://support.microsoft.com/kb/227260

http://technet.microsoft.com/en-us/library/cc781031(v=ws.10).aspx