在DELL PowerEdge T110 II上,预装的Windows Server 2012 R2(基础版)通过http端口80不断请求页面limwinsemea02.mfg.ie.dell.com。我们知道这是由于防火墙日志,其中logging了〜250k在几个月内阻止了请求。 到目前为止,我没有弄清楚哪个服务/启动组件/进程正在造成这种情况。 我需要什么来configuration,卸载或禁用,使这个“电话家庭”行为停止,而不会影响正常的服务器操作?
编辑 :sysinternals进程监视器显示这一点:
80港口是一个错误的解释或假设。 在知名端口“netbios-ns”(小数点137)上是一个向163.244.79.191发送的UDP。 该IP位于“Dell,Inc.”的范围内。
PID 4 =“系统”,堆栈显示,除了ntoskrnl.exe,涉及netbt.sys和tdx.sys。
我现在明白,netbios协议是涉及到的,但是为什么(以及在哪里)被configuration为每秒多次连接泛滥该DELL地址?
编辑2 :无论域或IP地址存储在哪里,它不在registry中。 或炒。
使用端口137(netbios名称parsing)的协议使用本地局域网范围内的广播。 这是不可路由的。 很多人在他们的工作场所使用VPN抱怨无法解决他们的工作计算机networking名称,并提出了一个或多个DNS服务器来解决这个限制的想法。 或者购买允许SMB over VPN的特定VPN路由器。
我最后一次看到有人开放他们的港口137(8或9)到公共networking是1998 – 1999年左右,当我们在POTS线路上使用拨号互联网,有效地向所有人开放, 哦,怀旧之情 。 所以DELL 可能没有开放。
鉴于此,我认为这是有意的“家庭打电话”的可能性很小。 系统进程PID4承载了一些networking服务,NetBios(SMB)可以从端口137轰击所有人,例如宣布服务器的NetBIOS名称和节点types。 然后在一些结束状态下连接短时间,例如TIME_WAIT。 真正的问题是,为什么MS仍然允许Windows做什么,16年前被认为是愚蠢的(请参阅第7和第8篇文章,提到防火墙日志充满了丢失的SMB连接)。
我认为你的服务器上的一些应用程序可能一直在寻找更新,这就是服务器如何caching这个IP,这是一个NetBios的行为主题,这真是罪魁祸首恕我直言。
我相当确定sysinternals的进程监视器将允许你捕获数据来显示哪个进程正在为那个地址做DNS请求。
如果您使用它来捕获networking活动,您将看到PID和进程名称。 然后寻找UDP数据包,你必须input“源IP:53”到DNS服务器,然后input实际的域名 – 我强烈怀疑你必须花费一点时间才能让它正确地对不起。