我们的主DNS服务器(如我们的DHCPconfiguration)正在运行Windows Server 2008 R2,也是我们的域控制器之一。
在其安全事件日志中,我们可以看到在过滤平台数据包丢弃类别中有数百个失败审计,其中客户端计算机似乎是使用NetBIOS数据包和exception的高数量端口UDP数据包来“发送”我们的服务器。
当使用CurrPorts时 ,我可以看到高端口UDP数据包所针对的本地端口被注册到DNS服务。 关于他们最奇怪的是,目的地是255.255.255.255 。
一个这样的例子是:
Windows过滤平台阻止了一个数据包。
应用信息:
进程ID:0
应用名称: -
networking信息:
方向:入站
源地址:<a client/workstation address>
源端口:51515
目的地地址:255.255.255.255
目的地端口:51515
议定书:17
过滤信息:
筛选器运行时ID:69825
图层名称:传输
层运行时间ID:13
这是一个NetBIOS:
Windows过滤平台阻止了一个数据包。
应用信息:
进程ID:0
应用名称: -
networking信息:
方向:入站
源地址:<a client/workstation address>
源端口:137
目的地地址:<DNS服务器的地址>
目的港口:137
议定书:17
过滤信息:
筛选器运行时ID:69825
图层名称:传输
层运行时间ID:13
我不知道为什么NetBIOS名称parsing被阻止…
我还没有做任何数据包捕获,看看上面的数据包目的地DNS包含,因为我将不得不禁用防火墙能够这样做。
据我所见,我有以下select:
在我们的DC的安全日志中包含更多的包含此networking垃圾邮件的故障审核,而不是从其ADangular色进行的实际authentication日志logging…
有没有人见过类似的东西?
编辑 2011年7月26日:我们也遇到以下相同的服务器上可能是相关的。 我不知道为什么出站ICMP数据包将被阻止,特别是在图层名称“ICMP错误”…
Windows过滤平台阻止了一个数据包。
应用信息:
进程ID:0
应用名称: -
networking信息:
方向:出站
来源地址:10.2.0.240
源端口:0
目的地地址:10.2.1.46
目标端口:0
协议:1
过滤信息:
筛选器运行时ID:69827
图层名称:ICMP错误
层运行时间ID:32
这可能是Winamp的AjaxAMP插件。
即使AjaxAMP服务器被禁用并停止,它也会每隔一秒发送一次广播:
01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38
完全删除AjaxAMP插件(Winamp将重新启动),它应该全部消失。
我已经启用了Windows防火墙策略,允许137和138上的stream量,因为应该允许这些策略 – 在进行一些调查之后,似乎没有什么不愉快的事情发生。
至于其他更高的端口,我发现networking上正在发送我提到的其他stream量的应用程序,并会在客户端阻止它们。
首先,来自UDP端口17500的stream量很大 – 这被Dropbox用来发现networking中的其他Dropbox客户端来执行networking同步,从而消除了同一networking中的用户之间的互联网传输。 我们有几个工作人员使用Dropbox来处理个人的事情,因此networking噪音也是如此。
另外,51515是从一台机器上的Winamp来的。 我还没有findWinamp正在播放的内容,但是如果我知道的话,我会很快发布/编辑。
至于消除事件日志中的噪音,我将使用这个命令:
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
如何失败审计首先打开 – 我不知道!