Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 53 replies
  • Subscribers 0 subscribers
  • Views 26060 views
  • Users 0 members are here
Options
Suggested

[9.185][BUG] Many Suspicious TCP state log entry's

mod2402
I've configured for android phones a Proxy Profile with transparent scanning and no HTTPS Scan. My firewall log shows many Suspicious TCP state entry's. See following extract:
Same result if I use Lync client on my notebook with same scan Settings.
  

17:44:40 Suspicious TCP state TCP 

192.168.24.69 : 40437

→ 

173.194.70.188 : 5228

 

[ACK PSH] len=145 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:50 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=52 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 42822

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:52 Suspicious TCP state TCP 

192.168.24.69 : 43438

→ 

173.194.112.67 : 443

 

[ACK] len=64 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:53 Suspicious TCP state TCP 

192.168.24.69 : 40321

→ 

173.252.79.23 : 443

 

[ACK PSH] len=245 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

17:44:54 Suspicious TCP state TCP 

192.168.24.69 : 37988

→ 

173.252.79.23 : 443

 

[RST] len=40 ttl=63 tos=0x00 srcmac=1c:7b:21:9d:7c:53 dstmac=0:15:5d:18:3:1b

 
The lync client disconnects the connection often if I use non https scanning. With "URL Filtering only", the client seems to work without disconnections. 
 
regards
mod
Parents
  • 0
    hi yash,
    I've installed the rpm on both nodes. The ha system is running stable. The https connections (port 443 outgoing) seems to work now without "Suspicious TCP state" entrys. 

    I see now some "Suspicious TCP state" entrys with normal http traffic (port 80). But most with tcp flag "RST". That could be a normal behavior.

    Just some entrys from my internal mailserver are not explainable. See log:
    [HTML]16:11:54  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK FIN]  len=52  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:54  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:54  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:56  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:58  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:59  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:12:01  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:12:06  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:12:09  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK RST]  len=40  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    [/HTML]
    These are answer packets from my internal mail Server to the gateway (internal IP from utm). If you need I can send you the complete log or remote access.

    regards
    mod
Reply
  • 0
    hi yash,
    I've installed the rpm on both nodes. The ha system is running stable. The https connections (port 443 outgoing) seems to work now without "Suspicious TCP state" entrys. 

    I see now some "Suspicious TCP state" entrys with normal http traffic (port 80). But most with tcp flag "RST". That could be a normal behavior.

    Just some entrys from my internal mailserver are not explainable. See log:
    [HTML]16:11:54  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK FIN]  len=52  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:54  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:54  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:56  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:58  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:11:59  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:12:01  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:12:06  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK PSH FIN]  len=153  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    16:12:09  Suspicious TCP state  TCP    
    192.168.24.251  :  443
    → 
    192.168.24.1  :  34661
      
    [ACK RST]  len=40  ttl=128  tos=0x00  srcmac=0:15:5d:18:3:6  dstmac=0:1a:8c:f0:4b:a0
    [/HTML]
    These are answer packets from my internal mail Server to the gateway (internal IP from utm). If you need I can send you the complete log or remote access.

    regards
    mod
Children
No Data
Unfiltered HTML