Verbindung von Server Port 137 auf WAN IP Port 137

[VSFan 0]

Hallo,

 

wenn ich mir das Logfile der Firewall (IPFire) für einen Server (Windows Server 2008 R2) ansehe, der Domänencontroller ist und die Rolle WINS beinhaltet, sehe ich ca. alle 12 Minuten folgendes:

 

19:53:04    DROP_FORWARD     green0    UDP    172.16.0.12    137    196.6.1.180    137
19:53:02    DROP_FORWARD     green0    UDP    172.16.0.12    137    196.6.1.180    137
19:53:01    DROP_FORWARD     green0    UDP    172.16.0.12    137    196.6.1.180    137

 

Die Remote-IP gehört leider nicht Microsoft, sonst wäre ich weniger beunruhig gewessen.

 

Nun habe ich mir mal daheim angesehen, wie ich Morgen herausfinden kann, was da kommuniziert und bin auf den Process Monitor gestossen. Dort den Filter für Prozess "system" deaktiviert und ein Filter Path enthält ":137" gesetzt und  nun finde ich auf meinem Rechner (Windows 10 Pro) folgende Einträge:

 

23:06:38,0735480    System    4    UDP Send    192.168.1.50:137 -> 198.41.209.124:137    SUCCESS    Length: 50, seqnum: 0, connid: 0
23:06:38,0795657    System    4    UDP Send    192.168.1.50:137 -> 198.41.208.140:137    SUCCESS    Length: 50, seqnum: 0, connid: 0
23:06:38,0796463    System    4    UDP Send    192.168.1.50:137 -> 104.16.108.25:137    SUCCESS    Length: 50, seqnum: 0, connid: 0
 

Ich dachte das Netbios (wenn es sich bei 137 dabei handelt) nicht über WAN geroutet wird?

 

Kann mir jemand erklären, was diese Kommunikation soll? Und wie kommt der Rechner an diese Adressen?

 

mfg

 

[zahni 561]

Netmon benutzen. Damit bekommt man in der Regel den Prozess heraus, der das macht und sieht den Inhalt der Pakete und Du siehst eventuelle DNS-Abfragen zu den IP-Adressen.

Die beiden unteren Adresse gehören zu Cloudflare (kann alles Mögliche sein).

 

Es gibt Bots, die per UDP mit C&C-Servern kommunizieren. Port 137 hilft zusätzlich, diese Kommunikation zu verschleiern, zumal UDP in einem normalen Netstat nicht auftaucht.

[VSFan 0]

Hallo,

 

am Freitag habe ich herausgefunden, was die Ursache ist:

 

Ein Rechner (nennen wir ihn mal PC-A) hat zwei Netzwerkkarten und hat neben der Verbindung zur Domäne (aber keine Freigabe fürs Internet) auch noch eine Verbindung zu einem Netzwerk (mehere Produktionsmaschienen mit Rechnern). Rechner PC-A registriert seine Arbeitsgruppe wohl auch im anderen Netzwerk. Der Domänencontroller versucht da wohl die Kommunikation auch zur zweiten Netzwerkkarte von PC-A, schickt die IP-Pakete aber an das Gateway, da dort alles außer 172.16.0.0/16 landet.

 

Wobei ich noch sagen muss, weiter als zum Router kamen diese Pakete nicht. Dort wird alles was mit Netbios zu tun hat ausgefiltert.

 

Und in er Firewall davor ebenfalls, da dort nur durchgeht, was erlaubt wurde.

 

Bei meinem pivaten Rechner daheim werde ich mir die nächsten Tage das mal ansehen, was da so hin und her geht. Jetzt hat mich der Ehrgeiz gepackt,

 

mfg

bearbeitet 12. September 2015 von VSFan