web-dev-qa-db-ja.com

ドメインコントローラー上のワークステーションからのパケットをブロックするWindowsフィルタリングプラットフォーム

プライマリDNSサーバー(DHCP構成で指定)はWindows Server 2008 R2を実行しており、ドメインコントローラーの1つでもあります。

そのセキュリティイベントログでは、クライアントマシンがNetBIOSパケットと奇妙な高数ポートUDPパケットでサーバーを「スパム」しているように見える、フィルタリングプラットフォームパケットドロップカテゴリに何百もの失敗監査があることがわかります。

CurrPorts を使用すると、高数ポートのUDPパケットが送信されるローカルポートがDNSサービスに登録されていることがわかります。しかし、それらの最も奇妙なことは、宛先が255.255.255.255であるということです。

そのような例の1つは次のとおりです。

 Windowsフィルタリングプラットフォームがパケットをブロックしました。
 
アプリケーション情報:
プロセスID:0 
アプリケーション名:-
 
ネットワーク情報:
方向:インバウンド
送信元アドレス:<クライアント/ワークステーションアドレス> 
送信元ポート:51515 
宛先アドレス:255.255。 255.255 
宛先ポート:51515 
プロトコル:17 
 
フィルター情報:
フィルター実行時ID:69825 
レイヤー名:トランスポート
レイヤーランタイムID:13 

これはNetBIOSのものです:

 Windowsフィルタリングプラットフォームがパケットをブロックしました。
 
アプリケーション情報:
プロセスID:0 
アプリケーション名:-
 
ネットワーク情報:
方向:インバウンド
送信元アドレス:<クライアント/ワークステーションアドレス> 
送信元ポート:137 
宛先アドレス:<DNSサーバーのアドレス> 
宛先ポート:137 
プロトコル:17 
 
フィルター情報:
フィルター実行時ID:69825 
レイヤー名:トランスポート
レイヤーランタイムID:13 

NetBIOSの名前解決がブロックされている理由がわかりません...

DNS宛ての上記のパケットに何が含まれているかを確認するためのパケットキャプチャはまだ行っていません。これを行うには、ファイアウォールを無効にする必要があるためです。

私が見る限り、私には次の選択肢があります:

  • トラフィックを許可するファイアウォール例外を追加します(しかし、そもそもなぜそれを取得するのですか?)
  • クライアントマシンを調査して、送信する理由と内容を確認します
  • トラフィックを無視しますか?

DC)のセキュリティログには、ADロールからの実際の認証ログよりも多くのこのネットワークスパムを含む障害監査があります。

誰かがこれに似たものを見たことがありますか?

EDIT 2011-07-26:同じサーバーで、関連している可能性のある次の問題も発生しています。特にレイヤー名「ICMPエラー」で、アウトバウンドICMPパケットがブロックされる理由がわかりません...

 Windowsフィルタリングプラットフォームがパケットをブロックしました。
 
アプリケーション情報:
プロセスID:0 
アプリケーション名:-
 
ネットワーク情報:
方向:送信
送信元アドレス:10.2.0.240 
送信元ポート:0 
宛先アドレス:10.2.1.46 
宛先ポート:0 
プロトコル:1 
 
フィルター情報:
フィルター実行時ID:69827 
レイヤー名:ICMPエラー
レイヤーランタイムID:32 
2
Ashley

Windowsファイアウォールポリシーを有効にして、137と138のトラフィックを許可する必要があります。調査を行った後、問題が発生していないようです。

他の上位ポートについては、私が言及した他のトラフィックを送信しているネットワーク上のアプリケーションを発見し、クライアント側でそれらをブロックすることを検討します。

まず、UDPポート17500から大量のトラフィックが発生しました。これは、Dropboxがネットワーク内の他のDropboxクライアントを検出してネットワーク同期を実行するために使用され、同じネットワーク内のユーザー間のインターネット転送を排除します。 Dropboxを個人的な目的で使用しているスタッフが数人いるため、そこからネットワークノイズが発生します。

もう1つの51515は、1台のマシンでWinampから送信されていました。 Winampがそのように放送している理由はまだわかりませんが、わかったらすぐに投稿/編集します。

イベントログからノイズを削除する場合は、次のコマンドを使用します。

  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

そもそも障害監査がどのようにオンになったのか-よくわかりません!

2
Ashley

おそらくWinamp用のAjaxAMPプラグインです。

AjaxAMPサーバーが無効になって停止している場合でも、1秒ごとにブロードキャストを送信します。

01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38

AjaxAMPプラグインを完全に削除すると(Winampが再起動します)、すべてなくなるはずです。

2
Orwellophile