Hallo,
wenn ich mir das Logfile der Firewall (IPFire) für einen Server (Windows Server 2008 R2) ansehe, der Domänencontroller ist und die Rolle WINS beinhaltet, sehe ich ca. alle 12 Minuten folgendes:
19:53:04 DROP_FORWARD green0 UDP 172.16.0.12 137 196.6.1.180 137 19:53:02 DROP_FORWARD green0 UDP 172.16.0.12 137 196.6.1.180 137 19:53:01 DROP_FORWARD green0 UDP 172.16.0.12 137 196.6.1.180 137
Die Remote-IP gehört leider nicht Microsoft, sonst wäre ich weniger beunruhig gewessen.
Nun habe ich mir mal daheim angesehen, wie ich Morgen herausfinden kann, was da kommuniziert und bin auf den Process Monitor gestossen. Dort den Filter für Prozess "system" deaktiviert und ein Filter Path enthält ":137" gesetzt und nun finde ich auf meinem Rechner (Windows 10 Pro) folgende Einträge:
23:06:38,0735480 System 4 UDP Send 192.168.1.50:137 -> 198.41.209.124:137 SUCCESS Length: 50, seqnum: 0, connid: 0 23:06:38,0795657 System 4 UDP Send 192.168.1.50:137 -> 198.41.208.140:137 SUCCESS Length: 50, seqnum: 0, connid: 0 23:06:38,0796463 System 4 UDP Send 192.168.1.50:137 -> 104.16.108.25:137 SUCCESS Length: 50, seqnum: 0, connid: 0
Ich dachte das Netbios (wenn es sich bei 137 dabei handelt) nicht über WAN geroutet wird?
Kann mir jemand erklären, was diese Kommunikation soll? Und wie kommt der Rechner an diese Adressen?
mfg