é normal que a autenticação AD entre uma estação de trabalho e o servidor AD gere muito tráfego ICMP? Eu tenho uma prevenção contra invasões de rede que está constantemente detectando uma grande quantidade de tráfego ICMP / ping do AD para a estação de trabalho; vice-versa. Tanto é assim que os detecta como ataque de 'inundação'.
Eu verifiquei tanto no AD quanto na estação de trabalho, tudo parece estar bem. Nenhum trojans, vírus, malware e a proteção de endpoint estão funcionando bem.
Alguma opinião sobre esse tipo de comportamento? Possíveis falsos positivos?
Não deve haver muito tráfego ICMP durante um logon típico do cliente no AD. Ele é realmente usado apenas para detecção de link lento e dificilmente é suficiente para acionar um alerta de inundação ICMP na maioria dos sistemas IPS.
Você tem algum script de logon que tenha loops de ping para garantir que os servidores e o link de rede do cliente estejam ativos antes de acessar os recursos da rede? Esse é um truque muito comum e pode causar o comportamento que você está vendo.
Talvez seu servidor do AD também seja seu servidor DHCP?
É comum que um servidor DHCP faça ping de endereços antes de oferecê-los como novas concessões.
No entanto, isso não deve gerar muitos pacotes. (Embora se você tiver tempos de leasing muito baixos e muito tempo, isso pode aparecer.)