Устройства Windows Server, рассылающие спам, в других подсетях через порт 445

Устройства Windows Server, рассылающие спам, в других подсетях через порт 445

У меня есть Windows Server 2012, который каждые несколько секунд отправляет пакеты, предназначенные для порта 445 на локальные IP-адреса в других подсетях. IP-адреса в других подсетях, к которым он пытается обратиться, — это устройства, например, VoIP-телефоны. Я понимаю, что порт 445 связан с Samba и/или службой репликации файлов, и, конечно, VoIP-телефон не должен интересоваться такими службами. Я вижу трафик, потому что наш брандмауэр, находящийся в «голове» подсетей VLAN, справедливо отбрасывает пакеты.

Мне интересно, что заставляет ОС Windows Server «узнавать» о существовании этих IP-адресов и поэтому решать постоянно рассылать спам по порту 445. Исходя из этого, я надеюсь прекратить это, поскольку это засоряет журналы моего брандмауэра шумом.

Сервер, о котором идет речь, является контроллером домена, и первым в домене (я знаю, что PDC — устаревший термин). Возможно, это имеет значение.

  • Как ОС Windows узнает об этих IP-адресах в сети? Логически у них нет причин взаимодействовать между подсетями, за исключением случайного поиска DNS с устройств VoIP.
  • Как узнать, какой процесс или служба опрашивает/рассылает спам/пытается найти устройства?
  • И как мне отключить эту возможность в ОС Windows или иным образом «удалить» устройство, не являющееся членом домена, из его репозитория, поместив его в «спам».

решение1

OP указал, что он ищет в сетях, о которых сервер не должен знать. SMB File Sharing Discovery должен делать обнаружение только в локальных подключенных сетях, и мы не увидим их в журналах брандмауэра.

Для информации на будущее, я решил нашу проблему, и она была из-за брандмауэра. Он использует единый вход. Когда пользователь пытается получить доступ в Интернет из других сетей, будь то гостевой или VoIP, брандмауэр пытается определить пользователя, запрашивая сервер, который затем запрашивает клиентское устройство по адресу 445. Если клиентское устройство находится в другой подсети, мы увидим эти отклоненные пакеты.

Это очень старый пост, но, возможно, он будет полезен другим, поскольку изначально он оставался без ответа более 3 лет.

~Джон

решение2

Это именно то, что вы описываете, обнаружение общего доступа к файлам SMB, и оно использует учетные данные контроллера домена для поиска общих ресурсов. Если вы не используете SMB, его можно отключить, отключив службу на сервере Windows, или вы можете отфильтровать свои журналы в брандмауэре.

Связанный контент