(!) Сообщения "NetBIOS TCP (V to L) ATTACK" в логах ZyWALL 2/5/35/70

Что означают сообщения "NetBIOS TCP (V to L) ATTACK", которые периодически появляются в логах ZyWALL 2/5/35/70?

Поясним на конкретном примере причину возникновения сообщений "NetBIOS TCP (V to L) ATTACK", которые могут появляться в логах аппаратного шлюза ZyWALL 2/5/35/70.


Предположим, что у компании существует центральный офис и два филиала. В центральном офисе установлен аппаратный шлюз ZyWALL 70W, а в филиалах установлены шлюзы ZyWALL 5. Филиалы компании подключены посредством VPN к центральному офису, и в них имеются локальные подсети 192.168.143.0 и 192.168.145.0. На аппаратном шлюзе ZyWALL 70W, находящемся в центральном офисе, в логах устройства периодически появляются сообщения следующего вида:


5 2009-07-02 18:13:17 NetBIOS TCP (V to L) 192.168.145.3:2111 192.168.51.11:139 ATTACK
6 2009-07-02 18:08:16 NetBIOS TCP (V to L) 192.168.145.3:2098 192.168.51.11:139 ATTACK
7 2009-07-02 17:18:14 NetBIOS TCP (V to L) 192.168.143.60:1433 192.168.8.70:139 ATTACK
8 2009-07-02 17:18:06 NetBIOS TCP (V to L) 192.168.145.3:2008 192.168.51.11:139 ATTACK
9 2009-07-02 17:08:14 NetBIOS TCP (V to L) 192.168.145.3:1987 192.168.20.93:139 ATTACK
10 2009-07-02 16:58:02 NetBIOS TCP (V to L) 192.168.145.3:1959 192.168.51.11:139 ATTACK
11 2009-07-02 16:37:59 NetBIOS TCP (V to L) 192.168.145.3:1924 192.168.51.11:139 ATTACK
12 2009-07-02 16:32:58 NetBIOS TCP (V to L) 192.168.145.3:1877 192.168.51.11:139 ATTACK
13 2009-07-02 15:37:45 NetBIOS TCP (V to L) 192.168.145.3:1796 192.168.51.11:139 ATTACK
14 2009-07-02 15:17:41 NetBIOS TCP (V to L) 192.168.145.3:1767 192.168.51.11:139 ATTACK
15 2009-07-02 15:12:40 NetBIOS TCP (V to L) 192.168.145.3:1752 192.168.51.11:139 ATTACK

192.168.145.3 и 192.168.143.60 - это компьютеры локальных сетей филиалов, которые обращаются к сетевым ресурсам, расположенным в центральном офисе.


Данные сообщения показывают, что в сети существует NetBIOS-атака в направлении из VPN в LAN (VPN to LAN). Данная атака блокируется межсетевым экраном (Firewall). В ZyWALL NetBIOS-пакет с нулевым полезным полем или неправильным типом будет признан как атака.


Чтобы исключить данную блокировку NetBIOS-трафика, в веб-конфигураторе  в настройках межсетевого экрана в меню Firewall >Threshold отключите защиту от DoS-атак для VPN-интерфейса. Поставьте галочку в поле Disable DoS Attack Protection on VPN.



Примечание: Отключение защиты от DoS-атак снижает безопасность сети, в связи с чем рекомендуем использовать отключение защиты только в том случае, если вы уверены, что данный трафик является безопасным.

 

KB-1935

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0