停止打電話回家的 Windows Server 2012,Foundation Edition OEM 工具
在 DELL PowerEdge T110 II 上,預裝的 Windows Server 2012 R2(基礎版)不斷通過 http 埠 80 請求頁面 limwinsemea02.mfg.ie.dell.com。我們知道這是因為防火牆日誌記錄了大約 250k在幾個月內阻止請求。到目前為止,我無法弄清楚是哪個服務/啟動組件/程序導致了這種情況。我需要配置、解除安裝或禁用什麼,才能在不影響伺服器正常執行的情況下停止這種“電話回家”行為?
編輯:sysinternals 程序監視器揭示了這一點:
埠 80 是錯誤的解釋或假設。它是在眾所周知的埠“netbios-ns”(十進制 137)上向 163.244.79.191 發送的 UDP。該 IP 在分配給“Dell, Inc.”的範圍內。
PID 4 = “System”,Stack 顯示除了 ntoskrnl.exe 之外,還涉及 netbt.sys 和 tdx.sys。
我現在了解涉及 netbios 協議,但為什麼(以及在哪裡)配置為每秒以多個連接淹沒該 DELL 地址?
編輯 2:無論儲存域或 IP 地址,它都不在系統資料庫中。或炒。
使用埠 137(netbios 名稱解析)的協議使用本地 LAN 範圍內的廣播工作。它不可路由。許多在工作場所使用 VPN 的人抱怨無法解析他們的工作電腦網路名稱,並提出了在各處託管一個或多個 DNS 伺服器以克服此限制的想法。或者購買允許 SMB over VPN 的特定 VPN 路由器。
我最後一次看到有人向公共網路開放他們的埠 137(8 或 9)是在 1998-1999 年左右,當時我們在 POTS 線路上使用撥接上網,有效地向所有人開放,哦,懷舊。所以戴爾可能沒有打開它。
鑑於此,我認為這是故意“在家打電話”的可能性很小。託管一些網路服務的系統程序 PID4讓 NetBios (SMB) 從其埠 137 轟炸它可以攻擊的每個人,以便例如宣布伺服器的 netbios 名稱和節點類型。然後連接會在某個結束狀態(例如 TIME_WAIT)中停留一小段時間。真正的問題是,為什麼 MS 仍然允許 Windows 做,16 年前被認為是愚蠢的事情(請參閱此執行緒中的第 7 和第 8 篇文章,提到防火牆日誌中充滿了失去的 SMB 連接)。
我認為您伺服器上的某些應用程序可能一直在搜尋更新,這就是伺服器記憶體此 IP 的方式,然後這是 NetBios 行為的主題,這確實是罪魁禍首恕我直言。