постоянные запросы на 138 порт - Сети

11.01.2005, 09:58

Помогите
стала тормозить сеть
в оутпосте наблюдаю постоянные запросы но 138 порту со всех машин в сети примерно по 230 байт
wins server поднят, везде прописан через dhcp
что это за нехорошее слово происходит?

Ghost · 11.01.2005, 10:06

Barmaglotik

Цитата:

Сообщение от %systemroot%\system32\drivers\etc\services

netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service

В настройках Outpost'а заблокируй NetBIOS: NetBIOS разрешен только тем компам, которые перечислены в "Параметры - Системные - Параметры", и убери там же галочку автоматического обнаружения настроек сети - лучше пропиши доверенные зоны ручками.
Если же тебя интересует из-за чего это, то вариантов много. В нашей локалке такое было, когда кто-то схватил вирус BloodHound, который потом пошел кулять по сети (мораль: надо, надо качать апдейты антивирусных баз вовремя!)...

11.01.2005, 10:29

Так не в том дело чтоб у себя заблокировать
в сети лишний трафик из-за него у всех все тормозит
откуда от взялся и как с этим бороться?
подозреваю что это появилось после установки дополнительного 2003 сервера
теперь передача данных нетбиоса идет по 445 порту

Ghost · 11.01.2005, 10:44

445 порт - microsoft-ds. Сдается мне, червячок какой-то пытается к тебе пролезть. Так что запускай антивирь.

Ты не первый задаешь этот вопрос. В yandex'е на запрос "+("microsoft-ds")" выдается куча ссылок на сайты с таким вопросом.

11.01.2005, 10:50

Сам боялся 445 порта после всех этих червей
но вот что пишут...
походу мелкософт замутили чтото новенькое

The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT/2000/XP. In Windows NT it ran on top of NetBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000/XP/2003, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NetBT. For this they use TCP port 445.

Ghost · 11.01.2005, 11:18

Сие означает, что на компах в настройках сети стоит галочка "NetBIOS через TCP/IP". И это вовсе не новенькое. Можно попробовать это изменить (есть еще два варианта: отключить и через DHCP). По дефолту, аутпост блокирует и исходящее, и входящее СМБ. Посмотри, с каких машин производится сканирование, и проверь их антивирем - это жу-жу неспроста.

З.Ы. Может и правда 2003 сервант шарится по сетке? Попробуй заблокировать NetBIOS и SMB на нем.

11.01.2005, 12:41

ничего не понимаю....

вирусов нет
несмотря на винс и проставленном в реестре сервера IsDomainMaste=true
какаято скотина объявила себя мастер броузером
если отключу нетбиос то его не видно будет в сетевом окружении

11.01.2005, 15:57

очень похоже на постоянные перевыборы мастерброузера

посмотрел утилиткой browstat status
показывает что есть мастербросер...
но пакеты идут от всех машин

Mg0 · 11.01.2005, 22:12

Давайте уж, и я влезу. У меня аналогичная проблема с постоянными перевыборами. Есть три сервера NT4.0+SP6a. Контроллер домена, он же (по идее) мастер (в реестре IsDomainMaster=true). Backup контроллер и "просто" сервер (у обоих IsDomainMaster=false). Система перезагружается по понедельникам. Первым включается контроллер домена. За ним с интервалом в 5 мин. backup контроллер и "просто" сервер.
До среды все нормально, потом начинаются сплошные перевыборы. Со среды и до пятницы лог контроллера домена забивается сплошь сообщениями, что backup контроллер мнит себя мастер броузером. Что посоветуете? Отключить броузинг везде, кроме основного контроллера? Конечно, можно, но, имхо, неэстетично. Вроде бы так как сейчас, ничему не противоречит...

12.01.2005, 10:15

одна из причин маршрутизация

http://support.microsoft.com/default...d=kb;ru;188305

FantomIL · 12.01.2005, 10:30

Цитата:

Сообщение от Mg0

...Что посоветуете? Отключить броузинг везде, кроме основного контроллера? Конечно, можно, но, имхо, неэстетично. Вроде бы так как сейчас, ничему не противоречит...

А что тут неэстетичного? У меня такая же ситуация, только браузером является самба. И виндовые машины раз в несколько минут инициируют перевыборы мастер-браузера и, естественно, их проигрывают, но из-за частоты перевыборов создается впечатление, что сеть глючит. Вылечилось именно отключением браузинга.

pazdak · 07.04.2005, 08:35

Может подскажите, а то в тупике уже второй день нахожусь, а все началось с:

Есть сетка из 120 компов, 4 серверов W2000 (поднят домен) и одного Netware 6
на GateWay (W2000) установлен firewall и несколько дней назад началась такая чехорда:
firewall стал фиксировать десятками пакеты такого содержания:
FROM: 192.168.0.xxx:138 (любая машина в сети) TO: 192.168.0.255:138
на Netware поднят CIFS (для работы с томами без Novell клиента, используется одной машиной в сети, остальные на клиентах сидят) и рассылается такой пакет:
FROM: 192.168.0.3:138 TO: 255.255.255.255:138

Настройки firewall не менялись, поэтому вышеописанная проблема возникла только сейчас, т.к. никогда (больше 2-х лет) небыло ниодного такого сообщения зафиксировано firewall

Первая мысль которая пришла в голову это проблема с мастер браузером и действительно недавно был поднят тестовый сервер W2003 для ознакомления с ISA 2004 (До выяснения траблов машину выключили), который пытался объявить себя Master browser'ом, проблема была тут же исправлена, все стало пучком, и даже на некоторое время шквал широковещательных пакетов на 138 порт стал стихать, но вчера вечером, этот шквал увеличился в сотни раз чем предыдущий, причем как еще раз хочу обратить Ваше внимание со всех машин в сети, включая мою.
И ко всему прочему стали участвовать порты 137, 139, 205 реже конечно чем 138, но глаз тоже мозолят.

Естественно подозрение на вирус, троян или что-то подобное возникло, но проверка различными антивирусами и Adware никакого результата не дают на нескольких машинах, грузился с CD и тоже проверялся, ничего...

Если кто хотябы может подсказать в какую сторону посмотреть, плиз не проходите мимо.

P.S. Да забыл указать, что процесс который генерит эти пакеты System:4, покрайней мере TDImon и TCPView Pro это показывают

SinClaus · 07.04.2005, 14:01

System:4 - это один из svchost'ов, скорее всего DNS клиент. На 2003й машине случайно второй DNS не подняли?

pazdak · 07.04.2005, 14:13

SinClaus
Тестовую машину W2003 до выяснения траблов выключили, DNS не поднимали...
Посмотрел Process Explorer от Sysinternals, что именно сам процесс System и посылает эти пакеты, ниодин из svchost'ов ничего такого не делает. (смотрел в свойствах System закладка TCP/IP)

На самом деле ситуация впринципе понятная (теоретически), в сети нет WINS сервера и впринципе должен идти широковещательный запрос (не знаю по каким портам он должен работать правда?..), но есть два больших НО:
1) Почему раньше их небыло, ведь период огромный, не месяц. Настройки повторюсь не менялись !!!
2) Почему такой лавинообразный шквал этих сообщений (пост выше), т.е. за минуту один и тот же клиент может послать около 10 пакетов, и таких клиентов 100, это совсем не понятно?..

SinClaus · 08.04.2005, 13:34

Я вообще-то несколько в недоумении: почему все время поминается недоброй памяти WINS, который даже мелкомягкие не советуют ставить, поскольку есть DHCP.
А чтобы перевыборов не было, ВСЕМ клиентам прописывается параметр HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters MaintainServerList = No, и тогда в сети наступает тишь.

System:4 постоянно прицеплен к microsoft-ds (445), держит установленные netbios сессии и слушает нетбиосные порты на UDP. Т.е. у нас ведет себя смирно. Может, у вас какия-нибудь шара общесетевая отгнила?

Borland · 08.04.2005, 16:34

Цитата:

SinClaus:
Я вообще-то несколько в недоумении: почему все время поминается недоброй памяти WINS, который даже мелкомягкие не советуют ставить, поскольку есть DHCP.

WINS можно заменить DNS (если в сетке нет необходимости работать на 9x/Me). А DHCP здесь вообще ни при чём, ибо одинаково ровно работает и с WINS, и с DNS (только если последний - от M$)...
Просто при отключении WINS и NetBIOS не будет работать обзор компов через "Сетевое окружение"...

SinClaus · 08.04.2005, 19:32

Очепятался, бывает. NetBIOS over IP отключал - сетевое окружение комп начинает показывать на порядок быстрее, чем с ним, но пропадает возможность попадать на Самбовские шары. WINS не поднимался НИКОГДА. В домене доживают две-три машины с 98й виндой, от них жалоб не поступало. NetBEUI тоже не присутствует, если его имеешь в виду под NetBIOS.

11.01.2005, 10:44	# 4
Ghost ::VIP:: Звезда первого сезона Молчун-2004 Регистрация: 24.08.2002 Сообщения: 1 575	445 порт - microsoft-ds. Сдается мне, червячок какой-то пытается к тебе пролезть. Так что запускай антивирь. Ты не первый задаешь этот вопрос. В yandex'е на запрос "+("microsoft-ds")" выдается куча ссылок на сайты с таким вопросом. __________________ Действовать надо тупо и это лучшее доказательство нашей чистоты и силы!

11.01.2005, 11:18	# 6
Ghost ::VIP:: Звезда первого сезона Молчун-2004 Регистрация: 24.08.2002 Сообщения: 1 575	Сие означает, что на компах в настройках сети стоит галочка "NetBIOS через TCP/IP". И это вовсе не новенькое. Можно попробовать это изменить (есть еще два варианта: отключить и через DHCP). По дефолту, аутпост блокирует и исходящее, и входящее СМБ. Посмотри, с каких машин производится сканирование, и проверь их антивирем - это жу-жу неспроста. З.Ы. Может и правда 2003 сервант шарится по сетке? Попробуй заблокировать NetBIOS и SMB на нем. __________________ Действовать надо тупо и это лучшее доказательство нашей чистоты и силы! Последний раз редактировалось Ghost; 11.01.2005 в 11:39. Причина: склероZzz...

11.01.2005, 22:12	# 9
Mg0 ::VIP:: Железный Дровосек Регистрация: 01.10.2003 Адрес: 1/6 суши Пол: Male Сообщения: 3 510	Давайте уж, и я влезу. У меня аналогичная проблема с постоянными перевыборами. Есть три сервера NT4.0+SP6a. Контроллер домена, он же (по идее) мастер (в реестре IsDomainMaster=true). Backup контроллер и "просто" сервер (у обоих IsDomainMaster=false). Система перезагружается по понедельникам. Первым включается контроллер домена. За ним с интервалом в 5 мин. backup контроллер и "просто" сервер. До среды все нормально, потом начинаются сплошные перевыборы. Со среды и до пятницы лог контроллера домена забивается сплошь сообщениями, что backup контроллер мнит себя мастер броузером. Что посоветуете? Отключить броузинг везде, кроме основного контроллера? Конечно, можно, но, имхо, неэстетично. Вроде бы так как сейчас, ничему не противоречит... __________________ Я только снаружи страшОн, а внутри... внутри я... просто УЖАСЕН!

07.04.2005, 14:01	# 13
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	System:4 - это один из svchost'ов, скорее всего DNS клиент. На 2003й машине случайно второй DNS не подняли? __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

08.04.2005, 13:34	# 15
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	Я вообще-то несколько в недоумении: почему все время поминается недоброй памяти WINS, который даже мелкомягкие не советуют ставить, поскольку есть DHCP. А чтобы перевыборов не было, ВСЕМ клиентам прописывается параметр HKLM\SYSTEM\CurrentControlSet\Services\Browser\Parameters MaintainServerList = No, и тогда в сети наступает тишь. System:4 постоянно прицеплен к microsoft-ds (445), держит установленные netbios сессии и слушает нетбиосные порты на UDP. Т.е. у нас ведет себя смирно. Может, у вас какия-нибудь шара общесетевая отгнила? __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

11.01.2005, 09:58	# 1
Barmaglotik Guest Сообщения: n/a	постоянные запросы на 138 порт Помогите стала тормозить сеть в оутпосте наблюдаю постоянные запросы но 138 порту со всех машин в сети примерно по 230 байт wins server поднят, везде прописан через dhcp что это за нехорошее слово происходит?

11.01.2005, 10:29	# 3
Barmaglotik Guest Сообщения: n/a	Так не в том дело чтоб у себя заблокировать в сети лишний трафик из-за него у всех все тормозит откуда от взялся и как с этим бороться? подозреваю что это появилось после установки дополнительного 2003 сервера теперь передача данных нетбиоса идет по 445 порту

11.01.2005, 10:50	# 5
Barmaglotik Guest Сообщения: n/a	Сам боялся 445 порта после всех этих червей но вот что пишут... походу мелкософт замутили чтото новенькое The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT/2000/XP. In Windows NT it ran on top of NetBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000/XP/2003, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NetBT. For this they use TCP port 445.

11.01.2005, 12:41	# 7
Barmaglotik Guest Сообщения: n/a	ничего не понимаю.... вирусов нет несмотря на винс и проставленном в реестре сервера IsDomainMaste=true какаято скотина объявила себя мастер броузером если отключу нетбиос то его не видно будет в сетевом окружении

11.01.2005, 15:57	# 8
Barmaglotik Guest Сообщения: n/a	очень похоже на постоянные перевыборы мастерброузера посмотрел утилиткой browstat status показывает что есть мастербросер... но пакеты идут от всех машин

12.01.2005, 10:15	# 10
Barmaglotik Guest Сообщения: n/a	одна из причин маршрутизация http://support.microsoft.com/default...d=kb;ru;188305

07.04.2005, 08:35	# 12
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	Может подскажите, а то в тупике уже второй день нахожусь, а все началось с: Есть сетка из 120 компов, 4 серверов W2000 (поднят домен) и одного Netware 6 на GateWay (W2000) установлен firewall и несколько дней назад началась такая чехорда: firewall стал фиксировать десятками пакеты такого содержания: FROM: 192.168.0.xxx:138 (любая машина в сети) TO: 192.168.0.255:138 на Netware поднят CIFS (для работы с томами без Novell клиента, используется одной машиной в сети, остальные на клиентах сидят) и рассылается такой пакет: FROM: 192.168.0.3:138 TO: 255.255.255.255:138 Настройки firewall не менялись, поэтому вышеописанная проблема возникла только сейчас, т.к. никогда (больше 2-х лет) небыло ниодного такого сообщения зафиксировано firewall Первая мысль которая пришла в голову это проблема с мастер браузером и действительно недавно был поднят тестовый сервер W2003 для ознакомления с ISA 2004 (До выяснения траблов машину выключили), который пытался объявить себя Master browser'ом, проблема была тут же исправлена, все стало пучком, и даже на некоторое время шквал широковещательных пакетов на 138 порт стал стихать, но вчера вечером, этот шквал увеличился в сотни раз чем предыдущий, причем как еще раз хочу обратить Ваше внимание со всех машин в сети, включая мою. И ко всему прочему стали участвовать порты 137, 139, 205 реже конечно чем 138, но глаз тоже мозолят. Естественно подозрение на вирус, троян или что-то подобное возникло, но проверка различными антивирусами и Adware никакого результата не дают на нескольких машинах, грузился с CD и тоже проверялся, ничего... Если кто хотябы может подсказать в какую сторону посмотреть, плиз не проходите мимо. P.S. Да забыл указать, что процесс который генерит эти пакеты System:4, покрайней мере TDImon и TCPView Pro это показывают Последний раз редактировалось pazdak; 07.04.2005 в 14:04.

07.04.2005, 14:13	# 14
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	SinClaus Тестовую машину W2003 до выяснения траблов выключили, DNS не поднимали... Посмотрел Process Explorer от Sysinternals, что именно сам процесс System и посылает эти пакеты, ниодин из svchost'ов ничего такого не делает. (смотрел в свойствах System закладка TCP/IP) На самом деле ситуация впринципе понятная (теоретически), в сети нет WINS сервера и впринципе должен идти широковещательный запрос (не знаю по каким портам он должен работать правда?..), но есть два больших НО: 1) Почему раньше их небыло, ведь период огромный, не месяц. Настройки повторюсь не менялись !!! 2) Почему такой лавинообразный шквал этих сообщений (пост выше), т.е. за минуту один и тот же клиент может послать около 10 пакетов, и таких клиентов 100, это совсем не понятно?..

08.04.2005, 19:32	# 17
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	Очепятался, бывает. NetBIOS over IP отключал - сетевое окружение комп начинает показывать на порядок быстрее, чем с ним, но пропадает возможность попадать на Самбовские шары. WINS не поднимался НИКОГДА. В домене доживают две-три машины с 98й виндой, от них жалоб не поступало. NetBEUI тоже не присутствует, если его имеешь в виду под NetBIOS. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении