在 DELL PowerEdge T110 II 上,预装的 Windows Server 2012 R2(基础版)不断通过 http 端口 80 请求页面 limwinsemea02.mfg.ie.dell.com。我们通过防火墙日志知道这一点,该日志在几个月内记录了约 250k 个被阻止的请求。到目前为止,我还没能找出哪个服务/启动组件/进程导致了这种情况。我需要配置、卸载或禁用什么,才能使这种“回拨”行为停止而不影响正常的服务器运行?
编辑:sysinternals 进程监视器显示了以下情况:
端口 80 是错误的解释或假设。它是通过众所周知的端口“netbios-ns”(十进制 137)向 163.244.79.191 发送的 UDP。该 IP 位于分配给“Dell, Inc.”的范围内。
PID 4 = “System”,堆栈显示除了 ntoskrnl.exe 之外,还涉及 netbt.sys 和 tdx.sys。
我现在明白其中涉及了 netbios 协议,但是为什么(以及在哪里)将其配置为每秒用多个连接淹没该 DELL 地址?
编辑2:无论域名或 IP 地址存储在何处,它都不在注册表中。或被打乱。
答案1
使用端口 137(netbios 名称解析)的协议在本地 LAN 范围内使用广播工作。它不可路由。许多使用 VPN 访问工作场所的人抱怨无法解析其工作计算机的网络名称,并提出了一些想法,即到处托管一个或多个 DNS 服务器以克服此限制。或者购买允许通过 VPN 进行 SMB 的特定 VPN 路由器。
我最后一次看到有人将他们的 137 端口(8 或 9)开放给公共网络是在 1998-1999 年左右,当时我们在 POTS 线路上使用拨号上网,实际上是向所有人开放了我们自己,哦,怀旧之情。所以戴尔大概没有打开。
鉴于此,我认为这是故意“打电话回家”的可能性很小。系统进程 PID4,它承载一些网络服务,允许 NetBios (SMB) 从其端口 137 轰炸所有可以轰炸的人,例如宣布服务器的 netbios 名称和节点类型。然后连接会短暂地处于某种结束状态,例如 TIME_WAIT。真正的问题是,为什么微软仍然允许 Windows 做 16 年前被认为是愚蠢的事情(参见第 7 和第 8 篇文章此主题提到防火墙日志充满了断开的 SMB 连接)。
我思考您的服务器上的某些应用程序可能一直在搜索更新,这就是服务器缓存此 IP 的方式,这随后成为 NetBios 行为的主题,在我看来,这才是真正的罪魁祸首。
答案2
我相当确定进程监控来自 sysinternals 将允许您捕获数据以显示哪个进程正在为该位置发出 DNS 请求。
如果您使用它来捕获网络活动,您将看到 PID 和进程名称。然后查找 UDP 数据包,您必须输入“源 IP:53”进入 DNS 服务器,然后输入实际域 - 我强烈怀疑您必须对此进行一些调整才能使其正常运行,但很抱歉。