11. März 2020

Komischer Traffic auf UDP/137

Ausgangssituation

Firewalls sind eine tolle Sache. Die Dinger filtern nicht nur eingehenden Verkehr, sondern im Idealfall auch ausgehenden Verkehr, um z. B. Datenabfluss zu vermeiden.

Sind dort aber Versuche zu erkennen, die geblockt werden und komisch aussehen, geht die Sucherei los. Wir hatten von vielen Clients sehr häufige Anfragen auf viele unterschiedliche und doch zwischen den Clients teilweise gleiche IPs auf Port 137/UDP. Der ist für die Namensauflösung von Netbios zuständig und das will man nun wirklich nicht Richtung Internet. Schadsoftware vielleicht 😲

104.16.31.34? 104.16.86.20? 51.105.249.223?

Eine Kombination aus

  • Log der Firewall
  • Resmon
  • Wireshark

ergab folgendes Bild:

Sowohl der böse Firefox, als auch SYSTEM und svchost senden NBSTAT Abfragen mit Broadcast

*<00><00><00><00><00><00><00><00><00><00><00><00><00><00><00>

Die Ziele sind unter anderem folgende (nur falls jemand danach per Suchmaschine sucht..):

  • 93.184.220.29
  • 104.16.31.34
  • 104.16.86.20
  • 104.20.59.241
  • 151.101.1.69
  • 151.101.13.108
  • 151.139.128.14
  • 51.105.249.223
  • 51.105.249.228
  • 51.105.249.239
  • 185.64.189.112

und noch andere natürlich. Die Ziele lösen dabei sehr mannigfaltig auf

  • i.stack.imgur.com.cdn.cloudflare.net
  • cdn.jsdelivr.net
  • ocsp.comodoca.com
  • client.wns.windows.com

Komisch das alles 🤔

Nach ein wenig weiteren Debuggen stellt sich raus: Die IPs werden ganz normal per DNS beim DNS Server erfragt. Danach schickt Legacy-Windows UDP/137 Anfragen an die per DNS aufgelösten IPs. Macht keinen Sinn, ist aber so.

Ein Glück braucht ja NetBIOS eigentlich kein Mensch mehr. Also flugs per DHCP NetBIOS im HDCP (Vendor-Encapsulated-Option 43, Hex 01:04:00:00:00:02) deaktivert. Das frisst jeder Windows 10 Client im Standard dann. Schwupps war der Traffic auf 137/UDP weg 🤓😎

Verweise

Folgende Quellen waren bei der Fehlersuche und Behebung hilfreich

tl;dr

Netbios über TCP/IP darf man in 2020 in 99% der Fälle deaktivieren. Legacy-Microsoft verursacht ansonsten komischen Traffic 🙄