Это нормально для аутентификации AD, чтобы генерировать много трафика ICMP?
Нормально ли для аутентификации AD между рабочей станцией и сервером AD генерировать много ICMP-трафика? У меня есть система предотвращения вторжений в сеть, которая постоянно обнаруживает огромное количество трафика ICMP / ping от AD до рабочей станции; наоборот. Настолько, что он обнаруживает их как "потоп".
Я проверил как на AD, так и на рабочей станции, оба в порядке. Нет троянов, вирусов, вредоносных программ и защита конечных точек работает нормально.
Есть мнения по поводу такого поведения? Возможные ложные срабатывания?
3 ответа
Во время обычного входа клиента в AD не должно быть много ICMP-трафика. На самом деле он используется только для медленного обнаружения канала, и его вряд ли достаточно, чтобы вызвать предупреждение о наводнении ICMP в большинстве нормальных систем IPS.
Есть ли у вас какие-либо сценарии входа в систему, в которых есть циклы проверки связи, чтобы убедиться, что серверы и клиентская сеть подключены до доступа к сетевым ресурсам? Это довольно распространенная уловка, которая может вызвать поведение, которое вы видите.
Возможно, ваш сервер AD также является вашим сервером DHCP?
Обычно DHCP-сервер пингует адреса, прежде чем предлагать их в качестве новых арендных договоров.
http://technet.microsoft.com/en-us/library/dd380200(v=ws.10).aspx
Однако это не должно генерировать слишком много пакетов. (Хотя, если у вас очень низкие сроки аренды и много оборотов, это может проявиться.)
Возможно, вы видите обнаружение медленной ссылки, которое делает групповая политика. Он будет передавать очень большие пакеты icmp, которые в конечном итоге будут фрагментированы, чтобы определить, входит ли пользователь по медленной линии или нет.
Проверять, выписываться:
http://support.microsoft.com/kb/227260
а также
http://technet.microsoft.com/en-us/library/cc781031(v=ws.10).aspx