Tenho um Windows Server 2012 que a cada poucos segundos envia pacotes destinados à porta 445 em IPs locais em outras sub-redes. Os IPs em outras sub-redes que ele está tentando alcançar são dispositivos como telefones VoIP, por exemplo. Entendo que a porta 445 está relacionada ao Samba e/ou ao serviço de replicação de arquivos e, claro, um telefone VoIP não deve ter interesse em serviços como esses. Posso ver o tráfego porque nosso firewall localizado na 'cabeça' das sub-redes VLAN está descartando os pacotes corretamente.
Estou me perguntando o que faz com que o sistema operacional Windows Server 'fique sabendo' da existência desses endereços IP e, portanto, decida enviá-los consistentemente para spam na porta 445. A partir disso, espero impedir que isso aconteça, pois está enchendo meus logs de firewall com ruído.
O servidor em questão é um controlador de domínio e o primeiro no domínio (sei que PDC é um termo obsoleto agora). Talvez isso seja relevante.
- Como o sistema operacional Windows aprende esses endereços IP na rede? Logicamente, eles não têm motivo para interagir entre sub-redes, exceto a pesquisa ocasional de DNS dos dispositivos VoIP.
- Como posso descobrir qual processo ou serviço está pesquisando/enviando spam/tentando pesquisar os dispositivos?
- E como posso desabilitar o sistema operacional Windows de fazer isso ou 'remover' o dispositivo que não é membro do domínio de seu repositório de coisas ditas para 'spam'.
Responder1
O OP indicou que estava pesquisando em redes das quais o servidor não deveria ter conhecimento. O SMB File Sharing Discovery deveria fazer descobertas apenas em redes locais conectadas e não as veríamos nos logs do firewall.
Para informações futuras, resolvi nosso problema e foi devido ao firewall. Ele usa logon único. Quando um usuário tenta acessar a Internet a partir de outras redes, seja ela convidada ou VoIP, o firewall tenta determinar o usuário consultando o servidor, que então consulta o dispositivo cliente em 445. Se o dispositivo cliente estiver em uma sub-rede diferente, iremos veja esses pacotes negados.
Esta é uma postagem muito antiga, mas talvez útil para outras pessoas, pois inicialmente ficou sem resposta por mais de 3 anos.
~Jon
Responder2
É exatamente como você descreve, descoberta de compartilhamento de arquivos SMB e usa as credenciais do controlador de domínio para procurar compartilhamentos. Se você não estiver usando SMB, ele pode ser desativado desativando o serviço no servidor Windows ou você pode filtrar seus logs no firewall.