DC sendet auf dubiosen Ports ?

[angoletti1 10]

Hi,

 

mein 2k3 Domain Controller sendet auf ganz seltsamen Ports, vielleicht kann mir ja jemand erzählen was der da macht:

 

UPD 1125, 1157, 1176, 1127, 1155, 1180, 1242.

 

Was könnte das sein? Ich habe nirgends eine Info darüber gefunden. Seltsam ist auch, das die Anfragen von 2 DCs gleichzeitig kamen.

 

Gruß

Chris

[Squire 273]

Google sei Dein Freund ... dann findet er so etwas: Service overview and network port requirements for the Windows Server system

[zahni 559]

Wie meinst Du das, "sendet von Port" ? Lokale Ports, mit denen einer Verbindung aufgebaut wird, werden immer dynamisch vergeben. Nur die Zielports sind (müssen) i.d.R. fest (sein).Es sei denn, irgendein Protokoll handelt dynamische Ports aus.

 

-Zahni

[angoletti1 10]

Yep, schon klar.

Leider sind dort aber die oben angegebenen Ports nicht gelistet und ich habe keine Idee wo diese her kommen. Auf dem Server läuft ja sonst nichts.

Falls es weiterhilft, es ist ein HP-Server. An der Maschine wurde nichts geändert, kein Boot, garnichts.

 

Ideen ???

[angoletti1 10]

Ich habe bei mir einen Portscanner laufen und dadurch entdeckt das mich die DCs auf den angegebenen Ports connecten. Zudem wird im LOG des Scanners gesagt "Somebody is scanning you computer"

[edv-olaf 10]

Hallo,

 

DOS-Fenster öffnen und

netstat.exe -b -n -v

eingeben.

 

Gruß

Olaf

[Squire 273]

Hast Du irgendwelche HP Agents etc. laufen?

 

Ich mach morgen mal nen Scan bei uns auf den DCs (wir haben nur HP Server und nützen HP Systeminsight Manager extensiv :)

[Nixonian 10]

Das sind alles UDP auf high-ports, also normales Clientverhalten. Die wohl häufigste UDP-Anfrage ist UDP:53 für Namensauflösung.

 

Ich glaube, dein DC macht einfach NS-Abfragen. Netzwerkmonitor aufmachen und nachschauen, wo das Ziel liegt, der "senderport" ist dabei egal.

 

"Auf den angegebenen Ports" connecten sie? Welche Server? Was für ein - tschuldigung- Müll alarmiert dich da mit dem typischen "Zonealarm"-Geschrei "Somebody is scanning..."?

 

Brr. Egal. Zu wenig sinnvolle Informationen. Vertrau dem Geraffel nicht, das du da hast, sondern schau es dir im Netzwerkmonitor an- das kommt mit deinem OS und es ist sinnvoll einsetzbar und gibt verwertbare Informationen. Den Tip mit netstat hast du ja schon bekommen.

[angoletti1 10]

Hmm, ok das klingt ja alles schon mal beruhigend.

Damit das etwas klarer ist: Jemand vom Audit hat einen Portscanner auf seinem Client laufen, wobei herauskam dass 2 DCs zur gleichen Zeit eine Anfrage auf den oben genannten Ports an den Client gesendet haben. Audit will jetzt natürlich wissen was das ist, weil diese Ports natürlich in keiner Docu bzw. DCs auftauchen...

Ich möchte jetzt irgendwie plausibel erklären können was die DCs auf diesen Ports zu machen/suchen haben.

 

Yep, die Software von HP (für NIC Loadbalancing usw.) läuft auf den Servern. Der eine Port sieht mir schwer nach HP aus. Das einzige was ich über die Ports herausfinden konnte ist dies:

 

hacl-qs 1238/udp hacl-qs

indigo-server 1176/udp Indigo Home Server

iascontrol 1157/udp Oracle iASControl

hpvmmagent 1125/udp HP VMM Agent

 

kwdb-commn 1127/udp KWDB Remote Communication

nfa 1155/udp Network File Access

mc-client 1180/udp Millicent Client Proxy

nmasoverip 1242/udp NMAS over IP

 

 

Port 1125 - HP VMM Agent ist ja erklärbar, aber was soll das ganze andere Geraffel

[Velius 10]

Hmm, ok das klingt ja alles schon mal beruhigend.

Damit das etwas klarer ist: Jemand vom Audit hat einen Portscanner auf seinem Client laufen, wobei herauskam dass 2 DCs zur gleichen Zeit eine Anfrage auf den oben genannten Ports an den Client gesendet haben.

 

 

Sag mal dem Typen vom Audit, er soll sich selbst erst schlau machen was das für Ports sind, und nicht irgendwelche Script-Kiddie Tools laden und ausprobieren.:rolleyes:

[angoletti1 10]

Sag mal dem Typen vom Audit, er soll sich selbst erst schlau machen was das für Ports sind, und nicht irgendwelche Script-Kiddie Tools laden und ausprobieren.:rolleyes:

 

:D Ich sehe, wir verstehen uns :D