Temos um sistema TrueNAS executando TrueNAS-13.0-U5.3. Ele está vinculado ao Active Directory e é usado exclusivamente para compartilhamento de arquivos SMB. Recentemente, ocorreram eventos periódicos em que a qualidade do serviço SMB foi degradada – o desempenho diminuiu e o serviço parou de aceitar novas conexões. Depois que o serviço SMB for interrompido e reiniciado, o problema será temporariamente resolvido.
Durante esses eventos, o /var/log/messagescontém mensagens conforme indicado abaixo:
Sep 15 11:03:28 FS.example.lan kernel: pid 41336 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 42956 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 90877 (smbd), jid 0, uid 0: exited on signal 6
Após a inspeção, var/log/samba4/log.smbdparece haver uma enxurrada de tentativas de autenticação por parte do usuário convidado. Por exemplo, hoje em um período de duas horas há aproximadamente 10.000 dessas tentativas nos 5 compartilhamentos deste servidor. O acesso de convidados não é permitido em nenhum compartilhamento.
[2023/09/15 11:22:38.582960, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
[2023/09/15 11:22:38.583037, 1] ../../source3/smbd/service.c:588(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2023/09/15 11:22:38.589570, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
Existem aproximadamente 300 computadores clientes na rede, mistos de macOS, Windows, Linux.
Minhas perguntas são:
- E se houver algum método para determinar o IP de origem ou o nome do host do dispositivo do qual a solicitação de autenticação do convidado é originada?
- Existe alguma atividade normal que possa explicar essas observações?
Responder1
Eu não usei o sistema operacional TrueNAS pessoalmente, mas parece não ter problemas em ser capaz de fazer SSH e suporta tcpdump. Portanto, você poderá capturar o tráfego SMB em uma captura de pacote e ver essas informações sem problemas.
tcpdump -W 10 -C 50 -w smb.pcap -s 0 port 445
O acima irá capturar os pacotes de tráfego SMB especificamente em um buffer rng, os valores para -W e -C são (-W quantos arquivos manter) e (-C qual tamanho em MB manter) os arquivos serão numerados sequencialmente e opere o FIFO, ajuste conforme necessário para capturar o tráfego necessário. Essa amostra terá 10x50Mb, portanto 500Mb de captura. você pode facilmente aumentar 1000 x 100 e obter 100 Gb, dependendo da carga normal do SMB e de quanto tempo leva para colocar a amostra no ar.
Abrir os arquivos subsequentes no wireshark permitirá que você veja a conversa com o servidor SMB, o que está tentando autenticar e o IP/MAC de onde vem (o MAC às vezes também ajuda a identificar o dispositivo) esevocê permite que ele faça pesquisas de DNS e pode até informar o nome do sistema. Mas aviso que pode consumir muitos recursos e ser lento se você ativá-lo.