[Win 2k3s] Windows Firewall problemen met UDP broadcast?

Situatie Server bij Colo; nu is het broadcast verkeer niet geblokkeerd binnen de colo
en er staan een aantal andere servers met heartbeat software. Nu sturen deze om de
seconde een UDP pakket: zie een gedeelte van firewall log bestand.

(De bron server met heartbeat software is niet in mijn beheer).

2005-11-02 10:20:25 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:26 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:27 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:28 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:29 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:30 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:31 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:32 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:33 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:34 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:35 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE
2005-11-02 10:20:36 DROP UDP x.x.x.x x.x.x.255 39268 694 147 - - - - - - - RECEIVE


Op deze machine staat de Windows Firewall aan, SP1 geinstalleerd en heeft gemiddeld
een dataverkeer van 20 Gb per dag.

Nu is mijn vraag kan het broadcasten van deze UDP pakketten een groot negatief effect
hebben op de performance van deze machine? (P4 2.8 HT, 1 Gb ram, Raid 0).

CPU level is bijna constant 100 %; terwijl dit voorheen altijd tussen de 5 % en 20 % zat

Voornamelijk het system proces neemt veel CPU tijd in beslag.

Het volgende artikel heb ik al gevonden:
http://www.microsoft.com/...94-b9a4-74bbb90edf37.mspx

Echter staat hier niet duidelijk beschreven bij hoeveel pakketen het een grootte invloed zal
hebben op de performance van de machine.

Dus mijn vraag; wie heeft hier ervaring mee?

[ Voor 8% gewijzigd door avon op 02-11-2005 10:31 ]

Zwelgje; heb TCPview even gedownload en getest.

- Er zijn geen vreemde connecties naar buiten met IIS uit
- Zodra IIS aangaat komen er ontzettend veel connecties

Wel kom ik het volgende tegen:
[System Process]:0 TCP findit-01:http you.can.try.but.you.cant.beat.nordicbots.com:2293 TIME_WAIT
[System Process]:0 TCP findit-01:http you.can.try.but.you.cant.beat.nordicbots.com:2214 TIME_WAIT
[System Process]:0 TCP findit-01:http you.can.try.but.you.cant.beat.nordicbots.com:2215 TIME_WAIT
[System Process]:0 TCP findit-01:http you.can.try.but.you.cant.beat.nordicbots.com:2240 TIME_WAIT
[System Process]:0 TCP findit-01:http you.can.try.but.you.cant.beat.nordicbots.com:2276 TIME_WAIT
[System Process]:0 TCP findit-01:http you.can.try.but.you.cant.beat.nordicbots.com:2294 TIME_WAIT

[en zo nog 100 keer]

Maar dit lijkt me een reguliere bot

[ Voor 75% gewijzigd door avon op 02-11-2005 11:06 ]

Iemand een goede online scanner?

Het is gewoon een standaard websserver, dus heb geen banden met gamebots oid.

[ Voor 86% gewijzigd door avon op 02-11-2005 11:11 ]

Maar deze connectie komt natuurlijk van buiten; en elke server kan in feite worden gescand
door welke bot dan ook, maar dat toont toch nog niet gelijk aan dat het systeem gecompromiteerd
is? (Hij's trouwens spy & virri vrij)