AD認証で大量のICMPトラフィックが生成されるのは正常ですか?
ワークステーションとADサーバー間のAD認証で大量のICMPトラフィックが生成されるのは正常ですか? ADからワークステーションへの大量のICMP/pingトラフィックを常に検出しているネットワーク侵入防止機能を備えています。逆に。それらを「フラッド」攻撃として検出するほどです。
ADとワークステーションの両方をチェックしましたが、どちらも問題ないようです。トロイの木馬、ウイルス、マルウェア、およびエンドポイント保護は正常に機能していません。
このような行動について何か意見はありますか?誤検知の可能性はありますか?
ADへの通常のクライアントログオン中は、ICMPトラフィックはそれほど多くないはずです。これは実際には低速リンク検出にのみ使用され、ほとんどの正常なIPSシステムでICMPフラッドアラートをトリガーするのに十分ではありません。
ネットワークリソースにアクセスする前にサーバーとクライアントネットワークリンクが稼働していることを確認するためのpingループを持つログオンスクリプトはありますか?これはかなり一般的なトリックであり、表示されている動作を引き起こす可能性があります。
おそらく、ADサーバーはDHCPサーバーでもありますか?
DHCPサーバーは、アドレスを新しいリースとして提供する前にpingを実行するのが一般的です。
http://technet.Microsoft.com/en-us/library/dd380200(v = ws.10).aspx
ただし、これによって生成されるパケットが多すぎないようにする必要があります。 (リース時間が非常に短く、ターンオーバーが多い場合でも、表示される可能性があります。)
グループポリシーが行う低速リンクの検出が表示される場合があります。非常に大きなicmpパケットを送信し、ユーザーが低速リンクを介してログインしているかどうかを判断するために断片化されてしまいます。
チェックアウト:
http://support.Microsoft.com/kb/22726
そして
http://technet.Microsoft.com/en-us/library/cc781031(v = ws.10).aspx