记录 SMB 登录尝试的源 IP

记录 SMB 登录尝试的源 IP

我们有一个运行 TrueNAS-13.0-U5.3 的 TrueNAS 系统。它绑定到 Active Directory 并仅用于 SMB 文件共享。最近出现了 SMB 服务质量下降的周期性事件 - 性能下降并且服务停止接受新连接。一旦 SMB 服务停止并重新启动,问题就会暂时解决。

在这些事件期间/var/log/messages包含如下所示的消息:

Sep 15 11:03:28 FS.example.lan kernel: pid 41336 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 42956 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 90877 (smbd), jid 0, uid 0: exited on signal 6

检查后发现,var/log/samba4/log.smbd访客用户似乎进行了大量的身份验证尝试。例如,今天两小时内,此服务器上的 5 个共享中大约有 10,000 次此类尝试。任何共享都不允许访客访问。

[2023/09/15 11:22:38.582960,  1] ../../source3/smbd/service.c:399(create_connection_session_info)
  create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
[2023/09/15 11:22:38.583037,  1] ../../source3/smbd/service.c:588(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2023/09/15 11:22:38.589570,  1] ../../source3/smbd/service.c:399(create_connection_session_info)
  create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)

网络上大约有 300 台客户端计算机,混合了 macOS、Windows 和 Linux。

我的问题是:

  1. 是否有任何方法可以确定访客身份验证请求所源自的设备的源 IP 或主机名?
  2. 是否有任何正常活动可以解释这些观察结果?

答案1

我个人没有使用过 TrueNAS OS,但它似乎没有 SSH 问题,并且支持 tcpdump。因此,您应该能够在数据包捕获中捕获 SMB 流量并毫无问题地查看此信息。

tcpdump -W 10 -C 50 -w smb.pcap -s 0 port 445

以上内容将捕获 SMB 流量数据包,具体到 rng 缓冲区中,-W 和 -C 的值是(-W 保留多少文件)和(-C 保留多少 MB 大小),文件将按顺序编号,并操作 FIFO,根据需要进行调整以捕获所需的流量。该样本将获得 10x50Mb,因此捕获量为 500Mb。您可以轻松将其设置为 1000 x 100 并获得 100Gb,这取决于您的正常 SMB 负载以及获取样本所需的时间。

在 wireshark 中打开后续文件将允许您查看与 SMB 服务器的对话、尝试进行身份验证的内容以及其来源的 IP/MAC(MAC 有时也可以帮助您识别设备)以及如果如果你让它进行 DNS 查找,它甚至可能会告诉你系统名称。但警告:如果你启用它,可能会占用大量资源,而且速度很慢。

相关内容