Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1300 views
  • Users 0 members are here
Options
Suggested

[8.965][CLOSED] AP5 does DHCP request with source port 1

asg_user
I noticed that an AP5 connected to a RED rev.2 does round about every 50 seconds an dhcp request to the ASG,
which runs the dhcp server. The first packet of this request is dropped by the packetfilter due the 
request uses source port 1 and destination port 67 which isn't allowed by the iptables AUTO_INPUT ruleset.

Here are the logs and the tcpdump:

# tail -f /var/log/dhcpd.log /var/log/wireless.log /var/log/packetfilter.log

2012:06:01-13:30:00 asg-cluster-1 dhcpd: DHCPRELEASE of 10.97.1.128 from 00:1a:8c:01:7f:3e via reds1 (found)
2012:06:01-13:30:00 asg-cluster-1 dhcpd: DHCPRELEASE of 10.97.1.128 from 00:1a:8c:01:7f:3e via reds1 (found)

==> /var/log/packetfilter.log  /var/log/dhcpd.log  00:a6:0e:1d:cd:9e, ethertype IPv4 (0x0800), length 381: (tos 0x0, ttl 64, id 17418, offset 0, flags [DF], proto UDP (17), length 367) 10.97.1.128.1 > 10.97.1.1.67: BOOTP/DHCP, Request from 00:1a:8c:01:7f:3e, length 339, xid 0x21a2a483, Flags [none]
          Client-IP 10.97.1.128
          Client-Ethernet-Address 00:1a:8c:01:7f:3e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Release
            Client-ID Option 61, length 7: ether 00:1a:8c:01:7f:3e
            Server-ID Option 54, length 4: 10.97.1.1
13:30:02.187390 00:1a:8c:01:7f:3e > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 410: (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 396) 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:1a:8c:01:7f:3e, length 368, xid 0x3d594615, Flags [none]
          Client-Ethernet-Address 00:1a:8c:01:7f:3e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Client-ID Option 61, length 7: ether 00:1a:8c:01:7f:3e
            Requested-IP Option 50, length 4: 10.97.1.128
            MSZ Option 57, length 2: 576
            Parameter-Request Option 55, length 9:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
              Domain-Name, RP, BR, NTP
              Option 234
            Vendor-Class Option 60, length 12: "udhcp 1.18.5"
13:30:02.187858 00:a6:0e:1d:cd:9e > 00:1a:8c:01:7f:3e, ethertype IPv4 (0x0800), length 342: (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328) 10.97.1.1.67 > 10.97.1.128.68: BOOTP/DHCP, Reply, length 300, xid 0x3d594615, Flags [none]
          Your-IP 10.97.1.128
          Client-Ethernet-Address 00:1a:8c:01:7f:3e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Offer
            Server-ID Option 54, length 4: 10.97.1.1
            Lease-Time Option 51, length 4: 86400
            Subnet-Mask Option 1, length 4: 255.255.255.0
            Default-Gateway Option 3, length 4: 10.97.1.1
            Domain-Name-Server Option 6, length 4: 10.97.1.1
            BR Option 28, length 4: 10.97.1.255
            T234 Option 234, length 4: 174129409
13:30:02.192397 00:1a:8c:01:7f:3e > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 416: (tos 0x0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 402) 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:1a:8c:01:7f:3e, length 374, xid 0x3d594615, Flags [none]
          Client-Ethernet-Address 00:1a:8c:01:7f:3e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Request
            Client-ID Option 61, length 7: ether 00:1a:8c:01:7f:3e
            Requested-IP Option 50, length 4: 10.97.1.128
            Server-ID Option 54, length 4: 10.97.1.1
            MSZ Option 57, length 2: 576
            Parameter-Request Option 55, length 9:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
              Domain-Name, RP, BR, NTP
              Option 234
            Vendor-Class Option 60, length 12: "udhcp 1.18.5"
13:30:02.220860 00:a6:0e:1d:cd:9e > 00:1a:8c:01:7f:3e, ethertype IPv4 (0x0800), length 342: (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328) 10.97.1.1.67 > 10.97.1.128.68: BOOTP/DHCP, Reply, length 300, xid 0x3d594615, Flags [none]
          Your-IP 10.97.1.128
          Client-Ethernet-Address 00:1a:8c:01:7f:3e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: ACK
            Server-ID Option 54, length 4: 10.97.1.1
            Lease-Time Option 51, length 4: 86400
            Subnet-Mask Option 1, length 4: 255.255.255.0
            Default-Gateway Option 3, length 4: 10.97.1.1
            Domain-Name-Server Option 6, length 4: 10.97.1.1
            BR Option 28, length 4: 10.97.1.255
            T234 Option 234, length 4: 174129409

Should the request uses source port 67 instead of port 1?

Regards,
Marco
Parents Reply Children
No Data
Unfiltered HTML