Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 7780 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Scan on Port 135

Basty777
Hi,

i have some problems with some PCs in my network. In packetfilter Livelog i see, some PCs allways try to connect on Port 135 (netbios) to other PCs on public IP-Adresses.
What could be the Problem?? Allways other IP Adresses and allways one more like 218.68.2.2, 218.68.2.3, 218.68.2.4 and so on.
I think it is a Virus but i allways scanned the PCs and the scanner (McAfee) found nothing.

Thanks in advance!


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to shadowfly
    What you are seeing is standard MS networking. Maybe not all of your PCs are configured the same way.
    I just put a packetfilter rule in that drops any of that traffic on the firewall, that way you get local traffic, but less noise in the packetfilter reports makes for easier problem identification.

    Ian M
  • 0 in reply to RFCat_vk_01
    Are you sure that it is only a Windows configuration??
    I am not sure! Why should the PC do a netbios scan in public IP Area? That make no sence for me. we have about 400 PCs behind 10 Firewalls in different countrys and only behind one Firewall we have this problem. So i think it is a other problem like a virus or a worm. But if it is realy a Windows problem, how can i fix it? I think dropping the packets on the Firewall isn´t the best way [:D]

    thx
  • 0 in reply to Basty777
    As far as I can remember MS network stuff is always trying to keep its network picture up to date, so it regularly broadcasts to see what answers.

    I only have 5 pcs on my home network and got sick of trying to identify these strange packets on the firewall, so I just dropped all MS netbios and similar packets. Nothing seems to miss not getting any responses.
    If you disable Ntebios in your dhcp server that should stop most of the traffic, but some staff are always trying "what does this button do", assuming your networks don't use/require Netbios.

    Ian M
  • 0 in reply to RFCat_vk_01
    Port 135 is also the port for blaster worm,etc. Here is a link that I could remember. Yes I know another forum ( firewall) but someone sent me the
    link cause I could not remember where to look. So dont ridicule me

    http://community.smoothwall.org/forum/viewtopic.php?t=1003
  • 0 in reply to mech9122
    Hi,

    did you try to resolve the target systems via DNS?
  • 0 in reply to NimmdirKeks
    It was the Blaster Worm... Thanks!
  • 0 in reply to Basty777
    The Microsoft chatter traffic, including ports 135, 137, 138, 139 & 445, can all safely be dropped (without logging) by the firewall. That is how we configure our Astaro boxes.
  • 0 in reply to VelvetFog
    Thougt that Snort had a own filter for the blaster traffic.
  • 0 in reply to VelvetFog
    The Microsoft chatter traffic, including ports 135, 137, 138, 139 & 445, can all safely be dropped (without logging) by the firewall. That is how we configure our Astaro boxes.


    I Think thats´s not a good idea. How you want to see it if you have a Worm like Blaster if you dont log it? We found Viruses more times with the Packet Filter Livelog. The User mostly didn´t know that...
  • 0 in reply to Basty777
    How you want to see it if you have a Worm like Blaster if you dont log it?
    We have Norton AntiVirus Corporate Edition on all the Windows machines inside the firewall. We haven't had any cases of blaster infected PCs.

    If we did log the Microsoft netbios chatter, the logs would quickly grow enormeous in size, since the netbios chatter from the more than fifty machines in our office goes on around the clock.