Сообщение маршрутизатора о неудачных попытках входа администратора с домашнего сервера

Question

Недавно я заметил в журналах моего домашнего маршрутизатора, что он относительно регулярно перечисляет следующую запись:

[admin login failure] from source 192.168.0.160, Monday, June 20,2011 18:13:25

192.168.0.160 - это внутренний адрес моего домашнего сервера под управлением Windows Home Server 2011. Есть ли в любом случае, я могу узнать, что конкретно пытается войти в маршрутизатор? Или есть какое-то объяснение этому поведению? (не уверен, если это принадлежит здесь или на суперпользователя ...)

[Обновление] Я некоторое время запускал Wireshark и netmon на своем домашнем сервере. Wireshark захватил трафик, но не показал ничего полезного (или ничего, что я мог бы использовать). Простой HTTP-запрос GET отправляется с сервера (192.168.0.160) на маршрутизатор (192.168.0.1) с, казалось бы, случайного порта (я видел примеры из 50068, 52883), и, кажется, он делает это дважды быстро последовательность (увеличение порта на 1) примерно каждый час. Запуск netstat во время сбоя ничего не показал (вероятно, слишком долго после того, как все прошло).

Я попытался использовать netmon, поскольку он классифицирует по процессам, поэтому я подумал, что это может показать соответствующий процесс для порта. К сожалению, это относится к категории «неизвестно», то есть это медленный, менее полезный Wireshark.

Я знаю, что здесь не так много всего, но поможет ли это в любом случае?

Answer 1

Вы можете запустить Wireshark, чтобы регистрировать трафик и точно видеть, что делает ваш домашний сервер. Если это действительно плохо, вы сможете прочитать всю полезную нагрузку пакета и определить, что не так и как это исправить.

Угадайка следует:

Вдобавок ко всему, я знаю, что Windows может генерировать какой-то странный сетевой трафик: мой ящик 7 извергал запросы m-search HTTP, которые, как я считаю, связаны с автоматическим обнаружением устройств uPnP с использованием SSDP. Это то, что обеспечивает автоматическую настройку вашего домашнего роутера. Если вы не чувствуете, что вам особенно нужен управляемый маршрутизатор, и вы можете нормально открывать порты самостоятельно, большое спасибо, вы можете отключить службу автоматического обнаружения SSDP.

Если именно эти пакеты и являются причиной ваших сообщений, это следует выяснить. Но если это так, они просто косметические и не причиняют никакого реального вреда.

Answer 2

Я предполагаю, что Windows Home Server пытается автоматически настроить и / или протестировать ваш домашний маршрутизатор. Windows Home Server пытается настроить ваш домашний маршрутизатор для облегчения удаленного доступа к вашему домашнему серверу (https://domain.homeserver.com) путем настройки параметров переадресации портов на вашем маршрутизаторе через UPNP.