大约一周前,我们将应用程序从一台服务器移到了另一台服务器(从 Windows Server 2008 移到了 Windows Server 2008 R2,不同的 DC,但同一家公司)。该服务器上有 12 个网站,但它们的流量都很低(每天点击量不到 200 次)。
自从我们搬家以来,我注意到“事件”->“Windows 日志”->“安全”下的安全日志中充满了数据包丢失。大多数都试图访问端口 25、17 或一些看似随机的端口 > 1024;它相当分散。有些来自像 Constant Contact 这样的知名公司(例如 IP 208.75.123.132),有些来自我个人没有听说过的公司,如 Cogento 38.96.220.83,但这些公司似乎信誉良好。当然,还有一些随机 IP,它们没有指向任何特定的东西。所有这些端口都被阻止和/或未使用。
这些条目非常多(估计平均每秒一两个),日志大约一天半就会填满。使用之前的服务器,托管相同的网站,我可以回溯两个多月。
我是否(随着移动)继承了一个未知用途的 IP,而现在所有这些服务都连接到我并期待旧的服务,或者还有其他事情发生?
有什么想法吗?谢谢!
编辑:我应该提到这一点,事件日志中的条目都是“事件 5152 - Windows 过滤平台已阻止数据包”。
编辑2:这是这篇文章涉及了我遇到的完全相同的问题。重要的是使用 auditpol 禁用对丢弃数据包的审计,但除非您立即重新启动,否则需要相当长的时间才能看到它起作用。我不确定它为什么会这样工作,但它确实让我很困惑。
EDIT3:本文遗漏了一点,对于 Windows 7 / Server 2008 R2,您需要转到本地安全策略 -> 本地策略 -> 安全选项 -> 并启用“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置”。默认情况下,它应该启用,但就我而言,“未定义”选项不起作用,我不得不手动启用它;更多信息这里。需要重新启动。
答案1
你看过这篇文章吗?
或者我刚刚发现了这一段
我发现问题出在默认域策略下隐藏的 gpo 设置。计算机配置、策略、Windows 设置、安全设置、带有高级设置的 Windows 防火墙、域配置文件、日志记录。单击自定义并将记录丢弃的数据包和记录成功的连接设置为否。
您还应该通过防火墙阻止除 80,443 端口之外的所有端口:)
答案2
欢迎来到互联网,您的 IP 可能位于一组知名的高速计算机中,这些计算机的网络设置非常好。您会被扫描和测试。我的一台服务器上也出现过同样的情况,对此我无能为力,通常当潜在的黑客看到没有响应时,他们会在一段时间后放弃。
您可以随时尝试主动拒绝而不是放弃,看看是否有帮助。