Wir haben ein TrueNAS-System mit TrueNAS-13.0-U5.3. Es ist an Active Directory gebunden und wird ausschließlich für die SMB-Dateifreigabe verwendet. In letzter Zeit kam es regelmäßig zu Abnutzungserscheinungen bei der SMB-Dienstqualität – die Leistung lässt nach und der Dienst akzeptiert keine neuen Verbindungen mehr. Sobald der SMB-Dienst gestoppt und neu gestartet wird, ist das Problem vorübergehend behoben.
Während dieser Ereignisse /var/log/messagesenthält es die folgenden Nachrichten:
Sep 15 11:03:28 FS.example.lan kernel: pid 41336 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 42956 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 90877 (smbd), jid 0, uid 0: exited on signal 6
Bei der Überprüfung var/log/samba4/log.smbdscheint es eine Flut von Authentifizierungsversuchen durch den Gastbenutzer zu geben. Beispielsweise gab es heute in einem Zeitraum von zwei Stunden ungefähr 10.000 solcher Versuche auf den 5 Shares dieses Servers. Gastzugriff ist auf keinem Share zulässig.
[2023/09/15 11:22:38.582960, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
[2023/09/15 11:22:38.583037, 1] ../../source3/smbd/service.c:588(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2023/09/15 11:22:38.589570, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
Es gibt ungefähr 300 Clientcomputer im Netzwerk, gemischt mit macOS, Windows und Linux.
Meine Fragen sind:
- Gibt es überhaupt eine Methode, um die Quell-IP oder den Quell-Hostnamen des Geräts zu ermitteln, von dem die Gastauthentifizierungsanforderung stammt?
- Gibt es irgendeine normale Aktivität, die diese Beobachtungen erklären könnte?
Antwort1
Ich habe das TrueNAS-Betriebssystem nicht persönlich verwendet, aber es scheint keine Probleme mit der SSH-Anmeldung zu geben, und es unterstützt tcpdump. Sie sollten also in der Lage sein, SMB-Verkehr in einer Paketerfassung abzufangen und diese Informationen ohne Probleme anzuzeigen.
tcpdump -W 10 -C 50 -w smb.pcap -s 0 port 445
Das Obige erfasst die SMB-Verkehrspakete speziell in einem Zufallszahlenpuffer. Die Werte für -W und -C lauten (-W, wie viele Dateien behalten werden sollen) und (-C, welche Größe in MB behalten werden soll). Die Dateien werden fortlaufend nummeriert und arbeiten nach FIFO. Passen Sie sie nach Bedarf an, um den benötigten Verkehr abzufangen. Diese Probe erhält 10 x 50 MB, also 500 MB Erfassung. Sie könnten es problemlos auf 1000 x 100 bringen und 100 GB erhalten, abhängig von Ihrer normalen SMB-Last und davon, wie lange es dauert, die Probe live zu schalten.
Wenn Sie die nachfolgenden Dateien in Wireshark öffnen, können Sie die Konversation mit dem SMB-Server sehen, was versucht zu authentifizieren und von welcher IP/MAC es kommt (MAC hilft Ihnen manchmal auch bei der Identifizierung des Geräts) undWennSie lassen es DNS-Lookups durchführen, möglicherweise wird Ihnen sogar der Systemname mitgeteilt. Aber Vorsicht: Wenn Sie es aktivieren, kann es sehr ressourcenintensiv und langsam sein.