Jump to content
Sign in to follow this  
sebbre

Windows Server 2003 telefoniert über Port 137 UDP

Recommended Posts

Hallo,

 

seitdem letzte Woche ein neues Firewallsystem Einzug gehalten hat (Watchguard X750e) stelle ich mit den mitgebrachten Monitoring-Möglichkeiten (Host-Watch) erschreckend fest, dass einer unserer Windows Server fleißig nach draußen telefoniert und zwar über Port 137 UDP. Teilweise sind mehrere 100 Verbindungen gleichzeitig offen, was zu erheblicher Last führt. Um die Auswirkungen einzudämmen wurde die Telefonie über Port 137 UDP von dieser Maschine vorerst per FW-Policy unterbunden.

 

Die Broadcasts gehen teilweise an komplette Adressbereiche ins öffentliche Netz, aber auch (dem angehängten Screenshot zu entnehmen) ins 169.254.x.x Netz, welches ja eigentlich von Windows für die automatische Adresszuteilung verwendet wird, wenn kein DHCP Server im Netz steht.

Der Server hat 2 NICs an Bord, von denen eine deaktiviert ist. Probehalber wurde die 2. NIC in Betrieb genommen (Adressierung im selben Subnetz wie die erste NIC). Im Traffic Monitor der Firewall war dann auch sehr schön zu sehen, dass die Broadcasts über beide NICs gehen.

 

Habe zuerst vermutet, dass sich ein Trojaner o.ä. eingenistet hat, ein FullScan mit Kaspersky (aktuelle Definitionen) ergab aber keine Treffer - ebensowenig wie der Einsatz von Ad-Aware und Spybot. Der MS Baseline Security Analyzer stellt auch keine kritischen Konfigurationsfehler fest.

 

Steckbrief:

DELL PowerEdge 850

Windows Server 2003 R2 Standard SP2

2. DC im Netz

Neben DNS und IIS laufen WSUS 2.0 der Kaspersky Administration Server sowie der Watchguard Log Server auf der Maschine. Probehalber wurden die Dienste (WSUS, Kaspersky, Log Server) schon gestoppt um Veränderungen am Broadcast Verhalten festzustellen - ohne Erfolg.

Adressierung im Netz erfolgt nicht per DHCP, alle Maschinen werden fest adressiert.

 

Google wurd schon redlich bemüht, allerdings ohne erfolgsversprechende Ergebnisse.

 

Vielleicht hat ja noch jemand eine Idee (außer Neuinstallation).

 

Danke & Gruß

Sebastian

Share this post


Link to post
Share on other sites

Ich habe solche Meldungen auch in den Logs der Watchguards gesehen. Ich bekomme NetBIOS Namensauflösungsversuche entweder durch den Einsatz von WINS geregelt oder weg durch das Abschalten von NetBIOS über TCP/IP. Auf den Watchguards, auf denen SMB sowieso in beide Richtungen in den meisten Fällen verweigert wird, definiere ich meistens einen SMB-Filter, Deny für ANY to ANY und logge keine Deny-Logs (es sind also keine unhandled Packets mehr).

Es wäre aber interessant zu wissen, warum der Server so exzessiv Namen auflösen will und das Log zu sehen wäre auch nicht das Schlechteste, das Bild ist allerdings nicht freigeschaltet ... Vielleicht mal alle Nicht-Standarddienste abschalten, beobachten und nach und nach wieder zuschalten ...

Share this post


Link to post
Share on other sites

Das deaktivieren von netBIOS über TCP/IP bringt den Server erstmal zum schweigen (hinsichtlich der Broadcasts). Danke für den Tipp.

 

Eine Ursache konnte bislang jedoch nicht gefunden werden - Nicht Standard-Dienste wurden testweise deaktiviert, allerdings ohne eine Veränderung an dem Verhalten festzustellen.

 

In eine intensivere Ursachenforschung werde ich nach meinem Urlaub einsteigen und bei konkreten Hinweisen hier berichten.

 

Gruß

Sebastian

Share this post


Link to post
Share on other sites

Das mit dem SMB-Filter auf der Firebox ist auch ne gute Sache, diese Meldungen wirst Du trotz allem immer haben. Es hält die Loganzahl in einem erträglichen Bereich, der besser durchsuchbar ist ...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...