我们的主要 DNS 服务器(由我们的 DHCP 配置决定)运行的是 Windows Server 2008 R2,也是我们的域控制器之一。
在其安全事件日志中,我们可以看到在过滤平台数据包丢弃类别中有数百个失败审计,其中客户端机器似乎正在使用 NetBIOS 数据包以及奇怪的高端口 UDP 数据包“向我们的服务器发送垃圾邮件”。
使用时当前端口,我可以看到高端口号 UDP 数据包所指向的本地端口已注册到 DNS 服务。不过最奇怪的是,目的地是255.255.255.255
。
其中一个例子是:
Windows 过滤平台已阻止一个数据包。 应用信息: 进程 ID:0 应用名称: - 网络信息: 方向:入站 源地址:<客户端/工作站地址> 源端口:51515 目标地址:255.255.255.255 目标端口:51515 协议:17 筛选器信息: 过滤器运行时 ID:69825 层名称:Transport 层运行时 ID:13
这是一个 NetBIOS:
Windows 过滤平台已阻止一个数据包。 应用信息: 进程 ID:0 应用名称: - 网络信息: 方向:入站 源地址:<客户端/工作站地址> 源端口:137 目标地址:<DNS 服务器地址> 目标端口:137 协议:17 筛选器信息: 过滤器运行时 ID:69825 层名称:Transport 层运行时 ID:13
我不确定为什么 NetBIOS 名称解析被阻止...
我还没有进行任何数据包捕获来查看发往 DNS 的上述数据包包含什么,因为我必须禁用防火墙才能这样做。
据我所知,我有以下选择:
- 添加防火墙例外以允许流量(但我们为什么首先要得到它?)
- 调查客户端机器,了解它们发送的原因和内容
- 忽视交通?
我们的 DC 的安全日志中包含此网络垃圾邮件的失败审核比其 AD 角色的实际身份验证日志还要多……
以前有人见过类似的事情吗?
编辑2011-07-26: 我们还在同一台服务器上遇到了以下可能相关的问题。我不确定为什么出站 ICMP 数据包会被阻止,尤其是在层名称“ICMP 错误”处...
Windows 过滤平台已阻止一个数据包。 应用信息: 进程 ID:0 应用名称: - 网络信息: 方向:出站 源地址:10.2.0.240 源端口:0 目标地址:10.2.1.46 目标端口:0 协议:1 筛选器信息: 过滤器运行时 ID:69827 层名称:ICMP 错误 层运行时 ID:32
答案1
我已经启用了 Windows 防火墙策略以允许 137 和 138 上的流量,因为这些应该被允许 - 经过一些调查后,似乎没有发生任何不正常的事情。
至于其他较高的端口,我发现网络上的应用程序正在发送我提到的其他流量,并且将考虑在客户端阻止它们。
首先,UDP 端口 17500 有大量流量 - Dropbox 使用此端口发现网络中的其他 Dropbox 客户端以执行网络同步,从而消除同一网络内用户之间的互联网传输。我们有几个员工使用 Dropbox 处理个人事务,因此会产生网络噪音。
另一个,51515 来自一台机器上的 Winamp。我还没有发现 Winamp 为什么要这样广播,但如果我弄明白了,我会尽快发布/编辑。
至于从事件日志中消除噪音,我将使用以下命令:
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
失败审计最初是如何启动的——我并不确定!
答案2
它可能是 Winamp 的 AjaxAMP 插件。
即使 AjaxAMP 服务器被禁用并停止,它也会每秒发出一次广播:
01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38
完全删除 AjaxAMP 插件(Winamp 将重新启动)然后一切都会消失。