工作站和 AD 服务器之间的 AD 身份验证产生大量 ICMP 流量是否正常?我已安装网络入侵防御系统,该系统不断检测从 AD 到工作站的大量 ICMP/ping 流量;反之亦然。如此之多以至于它将它们检测为“洪水”攻击。
我检查了 AD 和工作站,似乎都没有问题。没有木马、病毒、恶意软件,端点保护工作正常。
对这种行为有什么看法?可能存在误报吗?
答案1
在典型的客户端登录 AD 期间,ICMP 流量实际上不应该太多。它实际上仅用于慢速链接检测,并且几乎不足以在大多数健全的 IPS 系统上触发 ICMP 洪水警报。
您是否有任何登录脚本具有 ping 循环,以确保在访问网络资源之前服务器和客户端网络链接已启动?这是一个非常常见的伎俩,可能会导致您看到的行为。
答案2
也许您的 AD 服务器也是您的 DHCP 服务器?
DHCP 服务器在提供地址作为新租约之前,通常会对地址进行 ping 操作。
http://technet.microsoft.com/en-us/library/dd380200(v=ws.10).aspx
但是,这不会生成太多数据包。(但如果您的租赁时间很短且周转率很高,则可能会出现这种情况。)
答案3
您可能会看到组策略执行的慢速链接检测。它将传输非常大的 ICMP 数据包,这些数据包最终会被分割成碎片,以确定用户是否通过慢速链接登录。
查看:
http://support.microsoft.com/kb/227260
和
http://technet.microsoft.com/en-us/library/cc781031(v=ws.10).aspx