none
Neznámá komunikace ze serveru na port 51220

    Dotaz

  • Dobrý den, chtěl bych se zeptat jestli jste se s tímto problémem někdo nesetkal.

    Po změně topologie sítě a přesubnetování celé sítě z 192.168.x.x na 172.16.x.x jsem zjistil, že ze serveru jde spousta dotazů na adresy z předchozího subnetu 192.168.. Všechno to jsou UDP pakety s destination port 51220. Takto se server dotazuje na více než 500 adres každé 4sec. Dříve byla maska 255.255.0.0...

    Přikládám i screenshot z Microsoft Network Monitoru.

    12. března 2014 21:09

Odpovědi

  • Nejaky management stanic? Centralni rizeni cehokoliv - antivir napriklad...

    Zkuste na serveru pres netstat zjistit PID procesu, ktery takovou komunikaci vede

    Jestli se nepletu, mel by to umet i primo Network monitor: http://blogs.technet.com/b/netmon/archive/2008/09/17/network-monitor-3-2-has-arrived.aspx

    viz Process Tracking:

    13. března 2014 7:38
  • Problem vyresen, nakonec to opravdu neni DNS ale byl to software na sledovani stavu UPS, ktery scanoval stary rozsah IP adres.
    14. března 2014 12:59

Všechny reakce

  • Nejaky management stanic? Centralni rizeni cehokoliv - antivir napriklad...

    Zkuste na serveru pres netstat zjistit PID procesu, ktery takovou komunikaci vede

    Jestli se nepletu, mel by to umet i primo Network monitor: http://blogs.technet.com/b/netmon/archive/2008/09/17/network-monitor-3-2-has-arrived.aspx

    viz Process Tracking:

    13. března 2014 7:38
  • Myslim, ze NETSTAT nepomoze, kedze v nom najde LEN TCP spojenia.

    NetMonitor netusim ci vie priradit cislo procesu ku packetu.

    Skor by som to videl na Process Monitor, ktory urcite vypisuje process, ked komunikuje na siet. Takze pri spravnom filtrovani sa to da v pohode najst.


    ---------- Ondrej Zilinec - Cievo ----------

    13. března 2014 11:34
  • ??? JEN TCP ???  asi necemu nerozumim.

    Netstat -p UDP -abno

     Proc by to nemohlo fungovat?


    13. března 2014 11:44
  • Koli povahe UDP. Tvojim prikazom vylistujes len procesy, ktore pocuvaju na portoch UDP. Ale kedze UDP nie je relacny protokol, tak nevidis nadviazane spojenia na UDP ale len relacie nad TCP.

    Inak povedane. Ak posielas UDP protokol na destination port 51220, tak tento paket ma zvycajne nahodne zvoleny source port. Takze nie si schopny zistit ktory proces to poslal cez netstat.

    Dalo by sa to vsak v dvoch pripadoch:

    • Odchadzajuce pakety zo servera idu z rovnakeho source portu a predpoklada sa, ze odpovede na tento paket dojdu na ten isty port. Vtedy by sa dalo pozriet cez tvoj prikaz co na danom UDP porte pocuva.
    • Predpokladat, ze odpovede na dane UDP pakety maju prichadzat tiez na port 51220 a preto sa cez tvoj prikaz pozriet na to, co pocuva na UDP porte 51220

    Ak ani jedna z tychto podmienok / prepokladov nie je splnena, tak ti nestat nepomoze.

    Dufam, ze som to popisal jasne a zrozumitelne :-)


    ---------- Ondrej Zilinec - Cievo ----------

    13. března 2014 12:02
  • Diky za pomoc, zjistil jsem pomoci netstat, ze se jedna o proces DNS.

    Ale tedko vubec nevim proc server odesila dotazy na IP adresy z jineho rozsahu.

    Nikde v zaznamech zon jsem nenasel IP adresy z rozsahu 192.168.x.x

    13. března 2014 16:50
  • Jiri, tvoje interpretace neni spravna. Zdrojova adresa je 172.16.0.2 a aplikace na tomto pocitaci vysila paket na starou adresu 192.168.0.77. Musite aplikaci prekonfigurovat aby monitorovala pocitace na nove konfigurovane siti. Nevim, co tam bezi a jak je aplikace nakonfigurovana z hlediska "oslovovani" pocitacu na siti, ale zvyseny provoz muze byt zpusobeny i tim, ze aplikace po nenalezeni cilovych pocitacu vysila pakety casteji. To muze byt aplikace podobna (nebo totozna s ) Nagiosu/em.

    Vypiste si aplikace, ktere na pocitaci bezi a uvidite, co je zdrojem zvyseneho provozu. Pouzijte autoruns

    http://technet.microsoft.com/cs-cz/sysinternals/bb963902.aspx

    a Process Explorer

    http://technet.microsoft.com/cs-cz/sysinternals/bb896653.aspx

    M.

    13. března 2014 18:45
    Moderátor
  • Diky za reakci.. Pomoci Process Exploreru jsem zjistil ze se opravdu jedna o aplikaci dns.exe

    Zde je link na screen z Process Exploreru: http://imageshack.com/a/img203/6506/p94g.png

    Po prozkoumani konfigurace DNS jsem nenarazil na zadny zadrhel. SOA i NS zaznamy jsou nakonfigurovane spravne na novou adresu. Jako forwarders pouzivam servery googlu viz.: http://imageshack.com/a/img34/2230/ijiz.png

    Jeste jsem se na packet podival pomoci Wiresharku ale zadne detailni informace jsme z toho nezjistil: http://imageshack.com/a/img46/257/kso8.png

    Na routeru i switchi je DNS nastavene take spravne na IP adresu serveru.

    13. března 2014 18:58
  • Ten zdrojovy pocitac je server, router nebo switch? Pouzivate Active Directory nebo workgrupu?

    Co znamena tohle "Na routeru i switchi je DNS nastavene take spravne na IP adresu serveru"?

    Nemuzete poradne popsat system?

    M.

    13. března 2014 19:14
    Moderátor
  • Ty ukazky jsou temer nic nerikajici. Musite rozlisit celou komunikaci, nejen jednim smerem. Musite se podivat do paketu dovnitr...

    M.

    13. března 2014 19:16
    Moderátor
  • Diky za upozorneni, zdrojovy pocitac je server s IP 172.16.0.2 na nem bezi Active Directory a DNS server.

    Router je Mikrotik a bezi na nem DHCP server, v zalozce DNS je nastavena IP adresa 172.16.0.2 viz.: http://imageshack.com/a/img62/4949/k6jn.png a to same DNS je i na cisco switchi.

    Jako vychozi brana na serveru je nastaven switch (Layer3) a na nem defaultni routa na router. Jelikoz switch nezna subnet 192.168 tak se tyto pakety ze serveru dostavaji az na router, kde jsou videt v connections.

    Nejsem si jist jak vice se podivat do packetu dovnitr, rozevrel jsem vsechny detaily paketu viz.: http://imageshack.com/a/img824/4348/wxi9.png

    Cela komunikace je pouze jednostranna, nikdo neodpovida. http://imageshack.com/a/img34/8830/hk71.png

    Zajimave ale je ze kdyz stopnu sluzbu DNS tak stale zachytavam tyto pakety.



    13. března 2014 19:34
  • To mate nejakou divnou konfiguraci. DHCP by nemel byt na routeru a udaj o DNS na routeru je nesmyslny. Mel byste si neco precist o konfiguraci Active Directory a nepodlehat lidove tvorivosti.

    M.

    14. března 2014 9:34
    Moderátor
  • DHCP na routeru nicemu nevadi, naopak u Mikrotik routeru je DHCP velmi kvalitni a velmi dobre konfigurovatelne... Udaj o DNS na routeru je podle me hlavne informace pro router kde se nachazi DNS server pripadne jake DNS servery ma vyuzivat.

    Ano mate pravdu muze byt neco spatne v konfiguraci DNS nebo AD a na to se prave snazim prijit.

    Trosku me ale mate, ze Process Explorer ukazuje v TCP/IP spojenich tyto pakety u dns.exe procesu, ale jakmile vypnu sluzbu DNS na serveru, tak pres Wireshark nebo jiny paketovy analyzator vidim stale odchazet pakety ze serveru na port 51220, jako source port jsou oznacene vysoke porty ktere jsem nasel i v TCP/IP spojenich dns.exe.

    14. března 2014 9:51
  • Problem vyresen, nakonec to opravdu neni DNS ale byl to software na sledovani stavu UPS, ktery scanoval stary rozsah IP adres.
    14. března 2014 12:59