Windows Server 2012 - TestServer mit sehr vielen TCP-Verbindungen
Hallo!
Ich habe für Test und Developer-Zwecke einen Microsoft Exchange Server 2012 auf Windows Server 2012 installiert.
Eigentlich läuft der Server bestens hätte ich nicht ununterbrochen 500 (mir unerklärliche) TCP-Verbindungen!
Aufgefallen ist mir das Ganze erst nachdem ich eine "Abuse Warnung" von meinem Provider bekommen habe in der folgendes Stand:
"DNS reflection attack from your Hosts"
Die Windows Server 2012 Firewall ist natürlich aktiviert und alle Microsoft Security Packs sind installiert!
Kann mir jemand sagen was da läuft oder was ich unternehmen muss?
(Zur Info: Es handelt sich hierbei um eine virtuellen Root-Server. Daher habe ich keine Möglichkeit eine Hardware-Firewall / Router mit Firewall anzuschließen!)
Lg myGilli
Ich habe für Test und Developer-Zwecke einen Microsoft Exchange Server 2012 auf Windows Server 2012 installiert.
Eigentlich läuft der Server bestens hätte ich nicht ununterbrochen 500 (mir unerklärliche) TCP-Verbindungen!
Aufgefallen ist mir das Ganze erst nachdem ich eine "Abuse Warnung" von meinem Provider bekommen habe in der folgendes Stand:
"DNS reflection attack from your Hosts"
Die Windows Server 2012 Firewall ist natürlich aktiviert und alle Microsoft Security Packs sind installiert!
Kann mir jemand sagen was da läuft oder was ich unternehmen muss?
(Zur Info: Es handelt sich hierbei um eine virtuellen Root-Server. Daher habe ich keine Möglichkeit eine Hardware-Firewall / Router mit Firewall anzuschließen!)
Lg myGilli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218632
Url: https://administrator.de/contentid/218632
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
DNS reflection Attack würde bedeuten das du einen offenen (für alle nutzbaren) recursiven resolver (DNS server im Windows sprech) betreibst. Das war zumindest früher mal die Grundeinstellung wenn du die DNS Server Dienste installierst und startest. Allerdings würde das nicht zu deiner Beobachtung mit den TCP Verbindungen passen, da DNS (bis auf Ausnamhmen) über UDP läuft. Generell solltest du bei allen im Internet erreichbaren Server folgendes tun:
- Die Firewall Regeln prüfen welche Ports geöffnet sind und warum. Im Zweifelsfall Port schließen
- Für alle geöffneten Ports die Konfiguration des dazu gehörigen Dienstes prüfen ob Mißbrauch möglich ist
- Nur die Serverdienste installieren die auch tatsächlich benötigt werden
- Die benötigten Services/Dienste soweit möglich auf bestimmte Quell-IP Bereiche einschränken
Gruß
Andi
DNS reflection Attack würde bedeuten das du einen offenen (für alle nutzbaren) recursiven resolver (DNS server im Windows sprech) betreibst. Das war zumindest früher mal die Grundeinstellung wenn du die DNS Server Dienste installierst und startest. Allerdings würde das nicht zu deiner Beobachtung mit den TCP Verbindungen passen, da DNS (bis auf Ausnamhmen) über UDP läuft. Generell solltest du bei allen im Internet erreichbaren Server folgendes tun:
- Die Firewall Regeln prüfen welche Ports geöffnet sind und warum. Im Zweifelsfall Port schließen
- Für alle geöffneten Ports die Konfiguration des dazu gehörigen Dienstes prüfen ob Mißbrauch möglich ist
- Nur die Serverdienste installieren die auch tatsächlich benötigt werden
- Die benötigten Services/Dienste soweit möglich auf bestimmte Quell-IP Bereiche einschränken
Gruß
Andi