È normale che l'authentication AD generi un sacco di traffico ICMP?

è normale per l'authentication AD tra una workstation e un server AD per generare un sacco di traffico ICMP? Ho una prevenzione di intrusione di networking che sta riscontrando costantemente una quantità enorme di traffico ICMP / ping da AD a workstation; vice versa. Tanto che li rileva come attacco 'alluvione'.

Ho controllato sia l'AD e la workstation entrambi sembrano andati bene. Nessun trojan, virus, malware e protezione endpoint funzionano bene.

  • Applicare i criteri di gruppo ai gruppi di protezione
  • Creazione utente "Evento" per eseguire uno script
  • Come forzare la replica di directory triggers da una CC all'altra
  • Kinit non si connette a un server di dominio: il dominio non è locale a KDC mentre ottiene le credenziali iniziali
  • Un controller di dominio configurato in un cluster di failover? Oppure due DC, uno per ciascun nodo di cluster?
  • Come massicciamente creare la cartella "home" per gli utenti nella directory triggers?
  • Qualche opinione su questo tipo di comportmento? Possibili falsi positivi?

    3 Solutions collect form web for “È normale che l'authentication AD generi un sacco di traffico ICMP?”

    In realtà non dovrebbe essere molto traffico ICMP durante un tipico accesso al client AD. È veramente utilizzato solo per il rilevamento di collegamenti lenti e non è sufficiente innescare un avviso di allarme ICMP sulla maggior parte dei sisthemes intelligenti IPS.

    Avete degli script di accesso che hanno i pali di ping per assicurarsi che i server e il collegamento di networking client siano disponibili prima di accedere alle risorse di networking? Questo è un trucco abbastanza comune e potrebbe causare il comportmento che stai vedendo.

    Forse il tuo server AD è anche il tuo server DHCP?

    È comune affinché un server DHCP ponga gli indirizzi prima di offrire loro come nuove locazioni.

    http://technet.microsoft.com/en-us/library/dd380200(v=ws.10).aspx

    Tuttavia, questo non dovrebbe generare troppi pacchetti. (Sebbene abbia tempi di noleggio molto bassi e un sacco di rotazioni, potrebbe apparire.)

    Potresti vedere il rilevamento della connessione lenta che la politica del gruppo fa. Trasmetterà pacchetti ICMP molto grandi che finiscono per essere frammentati per determinare se l'utente sta accedendo ad un collegamento lento o less.

    Check-out:

    http://support.microsoft.com/kb/227260

    e

    http://technet.microsoft.com/en-us/library/cc781031(v=ws.10).aspx

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.