Windows 过滤平台阻止来自域控制器上的工作站的数据包

Windows 过滤平台阻止来自域控制器上的工作站的数据包

我们的主要 DNS 服务器(由我们的 DHCP 配置决定)运行的是 Windows Server 2008 R2,也是我们的域控制器之一。

在其安全事件日志中,我们可以看到在过滤平台数据包丢弃类别中有数百个失败审计,其中客户端机器似乎正在使用 NetBIOS 数据包以及奇怪的高端口 UDP 数据包“向我们的服务器发送垃圾邮件”。

使用时当前端口,我可以看到高端口号 UDP 数据包所指向的本地端口已注册到 DNS 服务。不过最奇怪的是,目的地是255.255.255.255

其中一个例子是:

Windows 过滤平台已阻止一个数据包。

应用信息:
    进程 ID:0
    应用名称: -

网络信息:
    方向:入站
    源地址:<客户端/工作站地址>
    源端口:51515
    目标地址:255.255.255.255
    目标端口:51515
    协议:17

筛选器信息:
    过滤器运行时 ID:69825
    层名称:Transport
    层运行时 ID:13

这是一个 NetBIOS:

Windows 过滤平台已阻止一个数据包。

应用信息:
    进程 ID:0
    应用名称: -

网络信息:
    方向:入站
    源地址:<客户端/工作站地址>
    源端口:137
    目标地址:<DNS 服务器地址>
    目标端口:137
    协议:17

筛选器信息:
    过滤器运行时 ID:69825
    层名称:Transport
    层运行时 ID:13

我不确定为什么 NetBIOS 名称解析被阻止...

我还没有进行任何数据包捕获来查看发往 DNS 的上述数据包包含什么,因为我必须禁用防火墙才能这样做。

据我所知,我有以下选择:

  • 添加防火墙例外以允许流量(但我们为什么首先要得到它?)
  • 调查客户端机器,了解它们发送的原因和内容
  • 忽视交通?

我们的 DC 的安全日志中包含此网络垃圾邮件的失败审核比其 AD 角色的实际身份验证日志还要多……

以前有人见过类似的事情吗?

编辑2011-07-26: 我们还在同一台服务器上遇到了以下可能相关的问题。我不确定为什么出站 ICMP 数据包会被阻止,尤其是在层名称“ICMP 错误”处...

Windows 过滤平台已阻止一个数据包。

应用信息:
    进程 ID:0
    应用名称: -

网络信息:
    方向:出站
    源地址:10.2.0.240
    源端口:0
    目标地址:10.2.1.46
    目标端口:0
    协议:1

筛选器信息:
    过滤器运行时 ID:69827
    层名称:ICMP 错误
    层运行时 ID:32

答案1

我已经启用了 Windows 防火墙策略以允许 137 和 138 上的流量,因为这些应该被允许 - 经过一些调查后,似乎没有发生任何不正常的事情。

至于其他较高的端口,我发现网络上的应用程序正在发送我提到的其他流量,并且将考虑在客户端阻止它们。

首先,UDP 端口 17500 有大量流量 - Dropbox 使用此端口发现网络中的其他 Dropbox 客户端以执行网络同步,从而消除同一网络内用户之间的互联网传输。我们有几个员工使用 Dropbox 处理个人事务,因此会产生网络噪音。

另一个,51515 来自一台机器上的 Winamp。我还没有发现 Winamp 为什么要这样广播,但如果我弄明白了,我会尽快发布/编辑。

至于从事件日志中消除噪音,我将使用以下命令:

  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

失败审计最初是如何启动的——我并不确定!

答案2

它可能是 Winamp 的 AjaxAMP 插件。

即使 AjaxAMP 服务器被禁用并停止,它也会每秒发出一次广播:

01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38

完全删除 AjaxAMP 插件(Winamp 将重新启动)然后一切都会消失。

相关内容