У нас есть TrueNAS System, на которой работает TrueNAS-13.0-U5.3. Она привязана к Active Directory и используется исключительно для обмена файлами SMB. В последнее время периодически происходят события, когда качество обслуживания SMB ухудшается — производительность падает, и обслуживание перестает принимать новые подключения. После остановки и перезапуска обслуживания SMB проблема временно решается.
Во время этих событий будут /var/log/messagesотображаться сообщения, указанные ниже:
Sep 15 11:03:28 FS.example.lan kernel: pid 41336 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 42956 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 90877 (smbd), jid 0, uid 0: exited on signal 6
При осмотре var/log/samba4/log.smbdвидно, что гостевой пользователь совершает поток попыток аутентификации. Например, за двухчасовой период сегодня на этом сервере было около 10 000 таких попыток в 5 общих ресурсах. Гостевой доступ не разрешен ни на одном общем ресурсе.
[2023/09/15 11:22:38.582960, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
[2023/09/15 11:22:38.583037, 1] ../../source3/smbd/service.c:588(make_connection_snum)
create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2023/09/15 11:22:38.589570, 1] ../../source3/smbd/service.c:399(create_connection_session_info)
create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
В сети около 300 клиентских компьютеров с операционными системами macOS, Windows и Linux.
У меня есть вопросы:
- Что если существует какой-либо метод определения исходного IP-адреса или имени хоста устройства, с которого исходит запрос на гостевую аутентификацию?
- Существует ли какая-либо нормальная активность, которая могла бы объяснить эти наблюдения?
решение1
Я лично не использовал TrueNAS OS, но, похоже, у нее нет проблем с возможностью входа по SSH, и она поддерживает tcpdump. Так что вы должны иметь возможность перехватывать трафик SMB в захвате пакетов и видеть эту информацию без каких-либо проблем.
tcpdump -W 10 -C 50 -w smb.pcap -s 0 port 445
Вышеуказанный пример будет захватывать пакеты трафика SMB, в частности, в буфер rng, значения для -W и -C - это (-W сколько файлов сохранять) и (-C какой размер в МБ сохранять), файлы будут последовательно пронумерованы и работать FIFO, при необходимости настраивайтесь, чтобы поймать нужный вам трафик. Этот образец получит 10x50 МБ, то есть 500 МБ захвата. Вы можете легко сделать его 1000 x 100 и получить 100 Гб, в зависимости от вашей обычной нагрузки SMB и того, сколько времени потребуется, чтобы получить образец в рабочем состоянии.
Открытие последующих файлов в Wireshark позволит вам увидеть обмен данными с сервером SMB, что именно пытается пройти аутентификацию, а также IP/MAC-адрес, с которого он поступает (иногда MAC также помогает вам идентифицировать устройство).есливы позволяете ему делать DNS-запросы, которые могут даже сообщить вам имя системы. Но предупреждаю, что это может быть чертовски ресурсоемко и медленно, если вы включите его.