プライマリDNSサーバー(DHCP構成で指定)はWindows Server 2008 R2を実行しており、ドメインコントローラーの1つでもあります。
そのセキュリティイベントログでは、クライアントマシンがNetBIOSパケットと奇妙な高数ポートUDPパケットでサーバーを「スパム」しているように見える、フィルタリングプラットフォームパケットドロップカテゴリに何百もの失敗監査があることがわかります。
CurrPorts を使用すると、高数ポートのUDPパケットが送信されるローカルポートがDNSサービスに登録されていることがわかります。しかし、それらの最も奇妙なことは、宛先が255.255.255.255
であるということです。
そのような例の1つは次のとおりです。
Windowsフィルタリングプラットフォームがパケットをブロックしました。 アプリケーション情報: プロセスID:0 アプリケーション名:- ネットワーク情報: 方向:インバウンド 送信元アドレス:<クライアント/ワークステーションアドレス> 送信元ポート:51515 宛先アドレス:255.255。 255.255 宛先ポート:51515 プロトコル:17 フィルター情報: フィルター実行時ID:69825 レイヤー名:トランスポート レイヤーランタイムID:13
これはNetBIOSのものです:
Windowsフィルタリングプラットフォームがパケットをブロックしました。 アプリケーション情報: プロセスID:0 アプリケーション名:- ネットワーク情報: 方向:インバウンド 送信元アドレス:<クライアント/ワークステーションアドレス> 送信元ポート:137 宛先アドレス:<DNSサーバーのアドレス> 宛先ポート:137 プロトコル:17 フィルター情報: フィルター実行時ID:69825 レイヤー名:トランスポート レイヤーランタイムID:13
NetBIOSの名前解決がブロックされている理由がわかりません...
DNS宛ての上記のパケットに何が含まれているかを確認するためのパケットキャプチャはまだ行っていません。これを行うには、ファイアウォールを無効にする必要があるためです。
私が見る限り、私には次の選択肢があります:
DC)のセキュリティログには、ADロールからの実際の認証ログよりも多くのこのネットワークスパムを含む障害監査があります。
誰かがこれに似たものを見たことがありますか?
EDIT 2011-07-26:同じサーバーで、関連している可能性のある次の問題も発生しています。特にレイヤー名「ICMPエラー」で、アウトバウンドICMPパケットがブロックされる理由がわかりません...
Windowsフィルタリングプラットフォームがパケットをブロックしました。 アプリケーション情報: プロセスID:0 アプリケーション名:- ネットワーク情報: 方向:送信 送信元アドレス:10.2.0.240 送信元ポート:0 宛先アドレス:10.2.1.46 宛先ポート:0 プロトコル:1 フィルター情報: フィルター実行時ID:69827 レイヤー名:ICMPエラー レイヤーランタイムID:32
Windowsファイアウォールポリシーを有効にして、137と138のトラフィックを許可する必要があります。調査を行った後、問題が発生していないようです。
他の上位ポートについては、私が言及した他のトラフィックを送信しているネットワーク上のアプリケーションを発見し、クライアント側でそれらをブロックすることを検討します。
まず、UDPポート17500から大量のトラフィックが発生しました。これは、Dropboxがネットワーク内の他のDropboxクライアントを検出してネットワーク同期を実行するために使用され、同じネットワーク内のユーザー間のインターネット転送を排除します。 Dropboxを個人的な目的で使用しているスタッフが数人いるため、そこからネットワークノイズが発生します。
もう1つの51515は、1台のマシンでWinampから送信されていました。 Winampがそのように放送している理由はまだわかりませんが、わかったらすぐに投稿/編集します。
イベントログからノイズを削除する場合は、次のコマンドを使用します。
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
そもそも障害監査がどのようにオンになったのか-よくわかりません!
おそらくWinamp用のAjaxAMPプラグインです。
AjaxAMPサーバーが無効になって停止している場合でも、1秒ごとにブロードキャストを送信します。
01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38
AjaxAMPプラグインを完全に削除すると(Winampが再起動します)、すべてなくなるはずです。