Pacotes de bloqueio da plataforma de filtragem do Windows de estações de trabalho em um controlador de domínio

Question

Pacotes de bloqueio da plataforma de filtragem do Windows de estações de trabalho em um controlador de domínio

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

Nosso servidor DNS primário (conforme definido por nossa configuração DHCP) está executando o Windows Server 2008 R2 e também é um dos nossos controladores de domínio.

Em seu log de eventos de segurança, podemos ver que existem centenas de auditorias de falhas na categoria Filtering Platform Packet Drop, onde máquinas clientes parecem estar "enviando spam" ao nosso servidor com pacotes NetBIOS e também pacotes UDP bizarros de alta número de portas.

Ao usar CurrPorts , posso ver que as portas locais direcionadas aos pacotes UDP de porta com número alto são direcionadas at estão registrados no serviço DNS. O mais estranho é que o destino é 255.255.255.255 .

Um exemplo é:

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:     0
    Application Name:   -

Network Information:
    Direction:      Inbound
    Source Address:     <a client/workstation address>
    Source Port:        51515
    Destination Address:    255.255.255.255
    Destination Port:       51515
    Protocol:       17

Filter Information:
    Filter Run-Time ID: 69825
    Layer Name:     Transport
    Layer Run-Time ID:  13

Este é um NetBIOS:

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:     0
    Application Name:   -

Network Information:
    Direction:      Inbound
    Source Address:     <a client/workstation address>
    Source Port:        137
    Destination Address:    <DNS server's address>
    Destination Port:       137
    Protocol:       17

Filter Information:
    Filter Run-Time ID: 69825
    Layer Name:     Transport
    Layer Run-Time ID:  13

Não sei por que a resolução de nomes do NetBIOS está sendo bloqueada ...

Eu não fiz nenhuma captura de pacote para ver o que os pacotes acima destinados ao DNS contêm, já que eu teria que desabilitar o firewall para poder fazer isso.

Tanto quanto eu posso ver, tenho as seguintes opções:

Adicione uma exceção de firewall para permitir o tráfego (mas por que estamos obtendo isso em primeiro lugar?)
Investigue as máquinas clientes para ver por que e o que elas estão enviando
Ignorar o tráfego?

Existem mais auditorias de falhas contendo esse spam de rede no log de segurança de nosso DC do que o registro de autenticação real de sua função de AD ...

Alguém viu algo parecido com isso antes?

EDIT 2011-07-26: Também estamos experimentando o seguinte no mesmo servidor que poderia estar relacionado. Não sei por que os pacotes ICMP de saída estariam sendo bloqueados, especialmente no nome da camada "Erro ICMP" ...

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:     0
    Application Name:   -

Network Information:
    Direction:      Outbound
    Source Address:     10.2.0.240
    Source Port:        0
    Destination Address:    10.2.1.46
    Destination Port:       0
    Protocol:       1

Filter Information:
    Filter Run-Time ID: 69827
    Layer Name:     ICMP Error
    Layer Run-Time ID:  32

networking windows windows-server-2008-r2 windows-firewall

por Ashley Steel 25.07.2011 / 05:35

2 respostas

2

É provavelmente o plugin AjaxAMP para o Winamp.

Mesmo quando o servidor AjaxAMP é desativado e interrompido, ele envia broadcasts a cada segundo, aproximadamente:

01:16:28.361965 IP 192.168.1.77.51515 > 255.255.255.255.51515: UDP, length 38

Remova completamente o plug-in AjaxAMP (o Winamp será reiniciado) e tudo deve desaparecer.

por 03.02.2012 / 15:24

Tags networking windows windows-server-2008-r2 windows-firewall

Como o VPN Intervalo Realmente Funciona? Problema de roteamento VPN L2TP com o iphone / ipad

score 1 · Accepted Answer

Eu habilitei a política do Firewall do Windows para permitir o tráfego em 137 e 138, já que isso deve ser permitido - depois de fazer algumas investigações, parece que não há nada de desagradável acontecendo.

Quanto às outras portas mais altas, descobri os aplicativos na rede que estão enviando o outro tráfego que mencionei e observarei o bloqueio deles no lado do cliente.

Em primeiro lugar, havia muito tráfego proveniente da porta UDP 17500 - isso é usado pelo Dropbox para descobrir outros clientes do Dropbox na rede para realizar a sincronização da rede, eliminando assim a transferência da Internet entre usuários dentro da mesma rede. Temos alguns membros da equipe que usam o Dropbox para coisas pessoais, daí o ruído da rede.

O outro, 51515 veio do Winamp em uma máquina. Eu ainda estou para descobrir o que o Winamp está transmitindo assim, mas eu vou postar / editar logo se eu descobrir isso.

Quanto a remover o ruído do log de eventos, usarei este comando:

  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

Como a auditoria de falhas foi ativada em primeiro lugar - não tenho certeza!