記錄 SMB 登入嘗試的來源 IP

記錄 SMB 登入嘗試的來源 IP

我們有一個運行 TrueNAS-13.0-U5.3 的 TrueNAS 系統。它綁定到 Active Directory,僅用於 SMB 檔案共用。最近,定期發生 SMB 服務品質下降的事件 - 效能下降並且服務停止接受新連線。停止並重新啟動 SMB 服務後,問題將暫時解決。

在這些事件期間,/var/log/messages包含如下所示的訊息:

Sep 15 11:03:28 FS.example.lan kernel: pid 41336 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 42956 (smbd), jid 0, uid 0: exited on signal 6
Sep 15 11:03:28 FS.example.lan kernel: pid 90877 (smbd), jid 0, uid 0: exited on signal 6

經過檢查,var/log/samba4/log.smbd訪客使用者似乎進行了大量的身份驗證嘗試。例如,在今天的兩小時內,該伺服器上的 5 個共享中大約有 10,000 次此類嘗試。任何共享均不允許訪客存取。

[2023/09/15 11:22:38.582960,  1] ../../source3/smbd/service.c:399(create_connection_session_info)
  create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)
[2023/09/15 11:22:38.583037,  1] ../../source3/smbd/service.c:588(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
[2023/09/15 11:22:38.589570,  1] ../../source3/smbd/service.c:399(create_connection_session_info)
  create_connection_session_info: guest user (from session setup) not permitted to access this share (exampleshare)

網路上大約有 300 台客戶端計算機,混合了 macOS、Windows、Linux。

我的問題是:

  1. 如果有任何方法可以確定發出訪客驗證請求的裝置的來源 IP 或主機名稱怎麼辦?
  2. 是否有任何正常活動可以解釋這些觀察結果?

答案1

我個人沒有使用過 TrueNAS 作業系統,但它在 SSH 方面似乎沒有問題,而且它支援 tcpdump。因此,您應該能夠在封包擷取中擷取 SMB 流量,並零問題地查看此資訊。

tcpdump -W 10 -C 50 -w smb.pcap -s 0 port 445

上面將捕獲 SMB 流量資料包,特別是在 rng 緩衝區中,-W 和 -C 的值是(-W 要保留多少個檔案)和(-C 要保留的 MB 大小)檔案將按順序編號,並且操作FIFO,根據需要進行調整以捕獲您需要的流量。該樣本將獲得 10x50Mb,即 500Mb 的捕獲量。您可以輕鬆地將其設為 1000 x 100 並獲得 100Gb,具體取決於您的正常 SMB 負載以及獲取範例所需的時間。

在wireshark中開啟後續檔案將允許您查看與SMB伺服器的對話、嘗試進行身份驗證的內容以及它來自的IP/MAC(MAC有時也可以幫助您識別設備)如果你讓它進行 DNS 查找甚至可能會告訴你係統名稱。但警告說,如果您啟用它,可能會佔用大量資源並且速度很慢。

相關內容