iT邦幫忙

0

server 2016 不斷廣播 udp 封包 (port 138)

meowlike 1 周前2611 瀏覽

大家好...

這台win server 2016 只有安裝web、php、mysql的服務
但安裝好之後網管就說這台會一直廣播SMB封包
我是給他這份資料告訴他「 smb scan port 的問題跟遠端桌面服務有關,約從2008開始,遠端桌面可以直接複製檔案,所以會用到smb port」

https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx

但是網管似乎受不了了,把log直接丟給我要求我解決
他說四分鐘內廣播了八萬筆的封包

我實在是摸不著頭緒,剛安裝完server不太可能中毒
那為什麼會一直廣播封包...
server IP是: 10.1.1.211

Description: Address spoofing
Destination:10.1.255.255
Protocol:17 (UDP)
Destination Port:138
Source:10.1.1.211
Message Information:Address spoofing

有七萬九千多筆都是上面這個訊息...

看更多先前的討論...收起先前的討論...
窮嘶發發發 iT邦高手 1 級 ‧ 1 周前 檢舉
照理說,伺服器服務都是採監聽服務,不太可能主動廣播的,所以,你的狀況是伺服器被攻擊了,有可能是 DOS 之類,或是 ARP
還有最後這個 Address spoofing => 這個請自行去查看看這是什麼警告,你就能找到解決方法了
hon2006 iT邦大師 1 級 ‧ 1 周前 檢舉
先停掉看看 我試了一下 也是可以複製貼上
https://blog.miniasp.com/post/2009/09/15/Which-ports-should-open-for-UNC-SMB-CIFS-connection.aspx
ss512new iT邦新手 3 級 ‧ 1 周前 檢舉
先用 Windows 防火牆檔一下,再看看本機哪個服務會因此失敗才能抓出兇手。

就像瓊嘶大說的伺服器發廣播有點怪,會不會是 Windows 網路探索這功能造成的(只想到它)?
meowlike iT邦新手 5 級 ‧ 1 周前 檢舉
謝謝ss512new和hon2006大大的建議,我先試試看
meowlike iT邦新手 5 級 ‧ 1 周前 檢舉
剛剛被他們網管打槍,說走UDP封包怎麼擋......還說一定是某個漏洞導致的,根本就無法溝通.....一副就是我比你懂所以我說的都對的那樣,欠X......

2 個回答

2
raytracy
iT邦大神 1 級 ‧ 1 周前

我的觀點:

  1. 您那篇文章我看不出 udp 138 有甚麼理由可以在 4 分鐘內廣播 8 萬筆封包出來?....(Q: 那到底正常的頻率應該是多少?)
  2. 我做了一個測試: 在我的環境內有一台 Server 2012 R2, 我開 RDP 從遠端連線進去, 然後從外面的 Switch 去聽 UDP port 138 的廣播, 結果:

http://ithelp.ithome.com.tw/upload/images/20170916/20026603GG99s2UXR0.png

15:32 是我登入這台 Server,
15:35 由於沒甚麼封包, 所以我將他重開機
15:36 重開機完成
15:37 我又再登入這台 Server

然後我在 15:38 之後, 透過 RDP 對這台 Server 進行傳檔, 以驗證您所說的: 傳檔會需要使用 UDP 138 之事, 但是在傳檔過程沒有看到任何的 UDP 138 封包出現.

事實上, 我在 15:37 之後一直放著長達 5 分鐘的時間, 中間不管我做甚麼操作, 都沒有再見到 UDP 138 的封包送出來.

換句話說, 前後 10 分鐘的時間, 我只收到 4 個 UDP 138 而已..

所以, 4 分鐘丟出 8 萬個 UDP 138 封包?......一定有問題.

(不過, 你們的網管規劃也很奇才, 拿 CIDR /16 給 Server 用, 這應該會常常遇到廣播風暴, 造成網路不順暢)

尼克 iT邦高手 1 級 ‧ 1 周前 檢舉

你們的網管規劃也很奇才,
/images/emoticon/emoticon01.gif

0
yaichin
iT邦新手 5 級 ‧ 3 天前

檢查一下是否有switch插到迴圈了

我要發表回答

立即登入回答