IP Scan on Port 135

McAffee is not a safe Anti Virus Scanner, try the Online Scanner from http://www.kaspersky.com/

regards

JR

What you are seeing is standard MS networking. Maybe not all of your PCs are configured the same way.
I just put a packetfilter rule in that drops any of that traffic on the firewall, that way you get local traffic, but less noise in the packetfilter reports makes for easier problem identification.

Ian M

Are you sure that it is only a Windows configuration??
I am not sure! Why should the PC do a netbios scan in public IP Area? That make no sence for me. we have about 400 PCs behind 10 Firewalls in different countrys and only behind one Firewall we have this problem. So i think it is a other problem like a virus or a worm. But if it is realy a Windows problem, how can i fix it? I think dropping the packets on the Firewall isn´t the best way [:D]

thx

As far as I can remember MS network stuff is always trying to keep its network picture up to date, so it regularly broadcasts to see what answers.

I only have 5 pcs on my home network and got sick of trying to identify these strange packets on the firewall, so I just dropped all MS netbios and similar packets. Nothing seems to miss not getting any responses.
If you disable Ntebios in your dhcp server that should stop most of the traffic, but some staff are always trying "what does this button do", assuming your networks don't use/require Netbios.

Ian M

As far as I can remember MS network stuff is always trying to keep its network picture up to date, so it regularly broadcasts to see what answers.

I only have 5 pcs on my home network and got sick of trying to identify these strange packets on the firewall, so I just dropped all MS netbios and similar packets. Nothing seems to miss not getting any responses.
If you disable Ntebios in your dhcp server that should stop most of the traffic, but some staff are always trying "what does this button do", assuming your networks don't use/require Netbios.

Ian M

Port 135 is also the port for blaster worm,etc. Here is a link that I could remember. Yes I know another forum ( firewall) but someone sent me the
link cause I could not remember where to look. So dont ridicule me

http://community.smoothwall.org/forum/viewtopic.php?t=1003

Hi,

did you try to resolve the target systems via DNS?

It was the Blaster Worm... Thanks!

The Microsoft chatter traffic, including ports 135, 137, 138, 139 & 445, can all safely be dropped (without logging) by the firewall. That is how we configure our Astaro boxes.

Thougt that Snort had a own filter for the blaster traffic.

The Microsoft chatter traffic, including ports 135, 137, 138, 139 & 445, can all safely be dropped (without logging) by the firewall. That is how we configure our Astaro boxes.

I Think thats´s not a good idea. How you want to see it if you have a Worm like Blaster if you dont log it? We found Viruses more times with the Packet Filter Livelog. The User mostly didn´t know that...

How you want to see it if you have a Worm like Blaster if you dont log it?

We have Norton AntiVirus Corporate Edition on all the Windows machines inside the firewall. We haven't had any cases of blaster infected PCs.

If we did log the Microsoft netbios chatter, the logs would quickly grow enormeous in size, since the netbios chatter from the more than fifty machines in our office goes on around the clock.