none
Localizar broadcast netbios RRS feed

  • Pregunta

  • Hola a todos, tengo un servidor que está lanzando broadcast NBNS a través de la red.

    ¿Existe alguna forma de averiguar que aplicación o servicio está lanzando estos broadcast?

    Gracias

    lunes, 6 de junio de 2011 11:32

Respuestas

  • Por lo que he leido usa el puerto UDP 39, puede ser un troyano o no. Recomendación escaneo completo de esa máquina con tu antivirus. Otra cosa, puedes usar Process Monitor utilidades sysinternals y haces capturas al mismo tiempo y buscar el proceso que está generando el tráfico de red.
    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    martes, 7 de junio de 2011 8:34
  • Es muy rara esa petición, porque si busca conectarse normalmente no va 0x00 (workstation=cliente de redes Microsoft), sino que va a 0x20 (server=Compartir archivos e impresoras)

    Yo investigaría, como dice Dani, por algún troyano, o también deteniendo aplicaciones para ver cuando deja de hacer eso.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 7 de junio de 2011 12:36
    Moderador

Todas las respuestas

  • Hola,

    Con Network Monitor puedes mirar algo de este tema http://www.microsoft.com/downloads/en/details.aspx?familyid=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

    mira este link, espero te sirva de ayuda http://blogs.technet.com/b/netmon/archive/2008/08/20/broadcasts.aspx 

     

     

     


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    lunes, 6 de junio de 2011 17:49
  • ZIDAC los broadcasts no los lanza la aplicación, eso lo hace el propio sistema operativo.

    Aunque, por supuesto puede haber una aplicación que está tratando de acceder a un recurso de red usando nombre NetBIOS

    Para poder ayudarte, primero deberías ver si eso ocurre a partir de arrancar una aplicación, o si se produce aunque no esté ningún usuario con sesión abierta.

    La "punta" para encontrar el problema, supongo que si no la sabes la tienes casi adelante ¿qué nombre está tratando de resolver?

    Otra cosa a considerar es el Tipo de Nodo configurado, que puedes ver con IPCCONFIG /ALL, ya que eso determina el orden de prueba para resolver nombres NetBIOS

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 6 de junio de 2011 20:11
    Moderador
  • Gracias Guillermo, el caso es que tengo una aplicación que está intentado buscar un recurso de red que se llama CD. He instalado el Network Monitor y se aprecia lo siguiente:

    Primero lanza las peticiones a los DNS y WINS (obviamente sin respuesta)

    Luego lanza los broadcast (y esto es lo que me tiene la red llena porqué es bastante insistente):

    558 8:38:52 07/06/2011 3.5006053 System 192.168.0.5 192.168.0.255 NbtNs NbtNs:Query Request for CD   <0x00> Workstation Service {UDP:39, IPv4:38}

    Tengo cientos de líneas como esta

    Mi idea es localizar qué aplicación está buscado este recurso y por qué (para luego corregir este comportamiento)

    Esta situación me ha pasado a veces con las impresoras de red, es decir, un equipo que se conecta a una impresora de red que cuando ya no está disponible lanza broadcast preguntando por el equipo en cuestión. Cuando esto me pasa sólo tengo que quitar la impresora que ya no está disponible y listo, pero ahora no se que hacer.

     

    Cualquier sugerencia es bien recibida.

    Saludos

    martes, 7 de junio de 2011 6:59
  • Por lo que he leido usa el puerto UDP 39, puede ser un troyano o no. Recomendación escaneo completo de esa máquina con tu antivirus. Otra cosa, puedes usar Process Monitor utilidades sysinternals y haces capturas al mismo tiempo y buscar el proceso que está generando el tráfico de red.
    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    martes, 7 de junio de 2011 8:34
  • Es muy rara esa petición, porque si busca conectarse normalmente no va 0x00 (workstation=cliente de redes Microsoft), sino que va a 0x20 (server=Compartir archivos e impresoras)

    Yo investigaría, como dice Dani, por algún troyano, o también deteniendo aplicaciones para ver cuando deja de hacer eso.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 7 de junio de 2011 12:36
    Moderador
  • Hola , una pregunta mas , que marca de placa de red tienes ?  Y que marca es el switch? Saludos
    Jorge Cavallin - Argentina
    miércoles, 8 de junio de 2011 20:19