È normale che l'authentication AD generi un sacco di traffico ICMP?

è normale per l'authentication AD tra una workstation e un server AD per generare un sacco di traffico ICMP? Ho una prevenzione di intrusione di networking che sta riscontrando costantemente una quantità enorme di traffico ICMP / ping da AD a workstation; vice versa. Tanto che li rileva come attacco 'alluvione'.

Ho controllato sia l'AD e la workstation entrambi sembrano andati bene. Nessun trojan, virus, malware e protezione endpoint funzionano bene.

  • Trova account bloccati in Active Directory (un modo che effettivamente funziona!)
  • Come riletto i certificati di macchina per i membri di Active Directory ora che ho una CA privata?
  • Come trova un sistema client in una networking di Active Directory in quale sito risiede?
  • Certificato Wildcard di terze parti su DC per LDAPS
  • Autenticazione di OpenBSD contro Active Directory
  • Condividi cartella con realmd / sssd e integrazione AD
  • Qualche opinione su questo tipo di comportmento? Possibili falsi positivi?

    3 Solutions collect form web for “È normale che l'authentication AD generi un sacco di traffico ICMP?”

    In realtà non dovrebbe essere molto traffico ICMP durante un tipico accesso al client AD. È veramente utilizzato solo per il rilevamento di collegamenti lenti e non è sufficiente innescare un avviso di allarme ICMP sulla maggior parte dei sisthemes intelligenti IPS.

    Avete degli script di accesso che hanno i pali di ping per assicurarsi che i server e il collegamento di networking client siano disponibili prima di accedere alle risorse di networking? Questo è un trucco abbastanza comune e potrebbe causare il comportmento che stai vedendo.

    Forse il tuo server AD è anche il tuo server DHCP?

    È comune affinché un server DHCP ponga gli indirizzi prima di offrire loro come nuove locazioni.

    http://technet.microsoft.com/en-us/library/dd380200(v=ws.10).aspx

    Tuttavia, questo non dovrebbe generare troppi pacchetti. (Sebbene abbia tempi di noleggio molto bassi e un sacco di rotazioni, potrebbe apparire.)

    Potresti vedere il rilevamento della connessione lenta che la politica del gruppo fa. Trasmetterà pacchetti ICMP molto grandi che finiscono per essere frammentati per determinare se l'utente sta accedendo ad un collegamento lento o less.

    Check-out:

    http://support.microsoft.com/kb/227260

    e

    http://technet.microsoft.com/en-us/library/cc781031(v=ws.10).aspx

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.