Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3003 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Should I be worried? Severity="info" NBNS

Astaronator
So I have tons of these packets logged.

The machine is trying to connect through a NIC that is local only (no gateway) to port 137 on external IP addresses. I will contact the software manufacturer, but what is the threat of these packets?

Does the fact that the Astaro (v7.505) states severity="info" mean that this is just making me aware? If this was a threat would the severity value change?

Thanks!
-Nator


This thread was automatically locked due to age.
Parents
  • 0
    'nator, the traffic between 192.168.1.105 and 192.168.1.2 shouldn't transit the Astaro - it doesn't, does it?

    Barry, I thought a port-137 query was, "tell me the NETBIOS names you know" or some other way of getting name resolution in NETBIOS, but that was after and before my "techy" phases. [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Well I captured the packets using tcpdump -s 0 on the Astaro through Putty so they're making their way to the Astaro and getting blocked by the packet filter. Never any response from the external IP (due to filter of course).

    To clarify a little, the machine has 2 NICs. 

    1 - IP address of lets say 192.168.10.105/24 with DG: 192.168.10.1 with Internet access

    2 - IP address: 192.168.1.105/24 DG: N/A. Used for access to mapped drive on 192.168.1.2 only

    Port 137 packets are running from 192.168.1.105 > External IPs
Reply
  • 0 in reply to BAlfson
    Well I captured the packets using tcpdump -s 0 on the Astaro through Putty so they're making their way to the Astaro and getting blocked by the packet filter. Never any response from the external IP (due to filter of course).

    To clarify a little, the machine has 2 NICs. 

    1 - IP address of lets say 192.168.10.105/24 with DG: 192.168.10.1 with Internet access

    2 - IP address: 192.168.1.105/24 DG: N/A. Used for access to mapped drive on 192.168.1.2 only

    Port 137 packets are running from 192.168.1.105 > External IPs
Children
  • 0 in reply to Astaronator
    Another strange thing is that I cannot pickup this traffic with Sysinternals Process Monitor.

    There is very little traffic passed from that IP and none of it is port 137

    hmmmm

    Scratch that... I found it, had to remove the default filters. It's coming from the "system" process. Not the software that I'm running. But it only happens when said software is actively running.
  • 0 in reply to Astaronator
    Well I didn't find the cause or reason, but my solution: disable WINS (NetBIOS) on the Windows 2003 server's NICs.

    Simply go into the NIC's properties> Internet Protocol (TCP/IP)> advanced > WINS > Disable NetBIOS over TCP/IP

    Done. No more packets... Makes the server more secure too since this protocol is often attacked and/or prodded from malicious users online.

    Thanks for the help guys,
    'nator