Dispositivos de spam do Windows Server em outras sub-redes na porta 445

1

Eu tenho um Windows Server 2012 que a cada poucos segundos envia pacotes destinados à porta 445 em IPs locais em outras sub-redes. Os IPs em outras sub-redes que ele está tentando acessar são dispositivos como telefones VoIP, por exemplo. Eu entendo que a porta 445 está relacionada ao Samba e / ou serviço de replicação de arquivos e, claro, um telefone VoIP não deve ter interesse em serviços como esses. Eu posso ver o tráfego porque o nosso firewall sentado na 'cabeça' das sub-redes VLAN está soltando corretamente os pacotes.

Eu estou querendo saber o que faz com que o sistema operacional Windows Server 'fique sabendo' da existência desses endereços IP e, portanto, decidam spamá-los consistentemente na porta 445. A partir disso, espero impedir que isso aconteça, pois está sendo preenchido meu firewall registra com ruído.

O servidor em questão é um controlador de domínio e o primeiro no domínio (sei que o PDC é um termo obsoleto agora). Talvez isso seja relevante.

  • Como o sistema operacional Windows aprende esses endereços IP na rede? Logicamente, eles não têm motivos para interagir entre sub-redes, exceto a ocasional busca de DNS dos dispositivos VoIP.
  • Como posso descobrir qual processo ou serviço está pesquisando / enviando spam / tentando pesquisar os dispositivos?
  • E como posso desativar o sistema operacional Windows ao fazer isso ou "remover" o dispositivo que não é membro do domínio de seu repositório de coisas ditas para "spam".
por George 03.03.2015 / 18:50

2 respostas

0

É exatamente como você descreve, descoberta de compartilhamento de arquivos SMB e usa as credenciais do controlador de domínio para pesquisar compartilhamentos. Se você não estiver usando o SMB, ele pode ser desativado desativando o serviço no servidor Windows ou você pode filtrar seus logs no firewall.

    
por 01.08.2018 / 14:16
0

O OP indicou que estava pesquisando em redes que o servidor não deveria ter conhecimento. A Descoberta de Compartilhamento de Arquivos SMB só deve estar fazendo descobertas em redes locais conectadas e não as veríamos nos logs do firewall.

Para informações futuras, resolvi nosso problema e foi devido ao firewall. Usa o logon único. Quando um usuário tenta acessar a Internet de outras redes, seja convidado ou VoIP, o firewall tenta determinar o usuário consultando o servidor, que então consulta o dispositivo cliente em 445. Se o dispositivo cliente estiver em uma sub-rede diferente, veja estes pacotes negados.

Este é um post muito antigo, mas talvez útil para os outros, já que inicialmente ficou sem resposta por mais de três anos.

~ Jon

    
por 01.08.2018 / 15:22