Tenemos un sistema TrueNAS que ejecuta TrueNAS-13.0-U5.3. Está vinculado a Active Directory y se utiliza únicamente para compartir archivos SMB. Recientemente, ha habido eventos periódicos en los que se degrada la calidad del servicio para SMB: el rendimiento disminuye y el servicio deja de aceptar nuevas conexiones. Una vez que se detiene y reinicia el servicio SMB, el problema se resuelve temporalmente.
Durante estos eventos, /var/log/messagescontiene mensajes como se indica a continuación:
Sep 15 11:03:28 FS.example.lan kernel: pid 41336 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 42956 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 90877 (smbd), jid 0, uid 0: exited on signal 6
Tras la inspección, var/log/samba4/log.smbdparece haber una avalancha de intentos de autenticación por parte del usuario invitado. Por ejemplo, en un período de dos horas hoy hay aproximadamente 10.000 de estos intentos en los 5 recursos compartidos de este servidor. No se permite el acceso de invitados en ninguna parte.
[2023/09/15 11:22:38.582960, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
[2023/09/15 11:22:38.583037, 1] ../../source3/smbd/service.c:588(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2023/09/15 11:22:38.589570, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
Hay aproximadamente 300 computadoras cliente en la red, una combinación de macOS, Windows y Linux.
Mis preguntas son:
- ¿Qué sucede si existe algún método para determinar la IP de origen o el nombre de host del dispositivo desde el cual se origina la solicitud de autenticación del invitado?
- ¿Existe alguna actividad normal que pueda explicar estas observaciones?
Respuesta1
No he usado el sistema operativo TrueNAS personalmente, pero parece que no tengo problemas para poder ingresar mediante SSH y es compatible con tcpdump. Por lo tanto, debería poder atrapar el tráfico SMB en una captura de paquetes y ver esta información sin problemas.
tcpdump -W 10 -C 50 -w smb.pcap -s 0 port 445
Lo anterior capturará los paquetes de tráfico SMB específicamente en un búfer rng, los valores para -W y -C son (-W cuántos archivos conservar) y (-C qué tamaño en MB conservar) los archivos se numerarán secuencialmente, y opere FIFO, ajuste según sea necesario para captar el tráfico que necesita. Esa muestra obtendrá 10x50Mb, es decir, 500Mb de captura. fácilmente podría hacerlo 1000 x 100 y obtener 100 Gb, depende de su carga SMB normal y del tiempo que lleva activar la muestra.
Abrir los archivos posteriores en Wireshark le permitirá ver la conversación con el servidor SMB, lo que está intentando autenticarse y la IP/MAC de donde proviene (MAC a veces también le ayuda a identificar el dispositivo) ysiSi le permite realizar búsquedas de DNS, es posible que incluso le indique el nombre del sistema. Pero advertir que puede consumir muchos recursos y ser lento si lo habilita.