公司的大多数电脑开始每隔十分钟便向 192.168.210.102 的 TCP445 发起连接请求

这有什么好追踪的。路由上一封。谁嚷嚷就是谁的锅

@sampeng 现在要追踪一下电脑上面具体是什么进程/dll 发起的这个 TCP 请求，几百台电脑每隔十分钟发起一次，一天下来，防火墙上面这个的会话记录 4W 多条了

现在还是停留在 System 这个进程上，现在就是想知道为什么会这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求。

反向思维，搞个蜜罐，看看通信成功了抓包不就得了，IP 、mac 、端口，要啥有啥

@seers 这些都抓过了，就是正常的 SMB 请求，我在核心/汇聚交换机的其中一个 vlanif 接口上配置了 192.168.210.1 sub 地址作为 192.168.210.102 的网关，然后找了一台电脑配置了 192.168.210.102 这个 IP 地址，并且开启了 SMB 共享，可以正常建立 TCP 的连接

🤔system 发起 445.应该是 SMB 了吧.之前搞过什么文件共享的东西？

这不是 smb 端口吗? 是 windows 映射了共享文件夹为盘符吧, 轮询刷新

@yyzh 没有搞过，公司内几百台电脑的请求目标都是 TCP 192.168.210.102:445

安全程序没报的那直接交换机 acl 封掉完事

@yyzh 主机安全软件没有报风险，就是担心以后会出安全事件

@eekon 你先封，调查不是让问题一直持续着调查。尤其是安全问题。。等你查完，黄花菜都凉了。你另外开个机器。acl 只允许这个 windows 机器通过。

会不会是系统镜像有问题？
比如 192.168.210.102 是一台监控中央服务器，然后镜像设置了向这个中央服务器备份数据。

只有两种可能。

1 、中病毒了，这个手动杀毒，排除法啥的，你搞个空闲的机器慢慢测。

2 、公司用的某个软件导致的，杀进程，或者逐个进程/服务关闭、卸载，资源管理器拓展项等等都挨个禁用。

答案自现。

搜了一下网上是没有相同情况的，很明显大概率是内部软件，或者有什么东西配置导致的，如果是近期出现的，说明是有些软件配置超出了你的掌控，或不属于你运维。

没啥好讲的，耐心点处理，总会有答案的，不是通用问题你上来问不会有准确答案的，特别是网上没有案例的情况下。

@eekon
1. 现在还是停留在 System 这个进程上
2. 这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求
如果没有正常业务用这个 IP ，那大概率是中毒了。
建议先联系相关研发/业务人员进行沟通，或者先把 192.168.210.102 的网络断了等人联系你
排查 192.168.210.102 有没有映射到公网，或者可以通过公网访问
无论是不是正常业务，做好 445 端口的安全防护，如果被攻击，有可能所有能连接这个 IP 的设备都中招

你可以看看有没有别的 SMB 请求。SMB 可以用 SCF 泄露 NTLM 认证的 HASH 。

简单的测试办法，你去搞个 192.168.210.102 的主机，然后开 SMB 服务，可以试着开启匿名写入。然后这台主机禁止所有 outbound 连接，并且打出来 Log 。切记一定要在网关封掉所有出站链接，不然可能泄露你的认证信息。

然后你时不时的用 Explorer 看一下你共享的目录，再去看看这台主机有没有往外发什么请求。如果确实是有出站请求，说明你那几百台机器真的感染了。

一般不会是恶性病毒，如果病毒干嘛集中往内网的机器发？直接朝外发送不就完了。

估计是 ARP 欺骗之类的恶心人用的