Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 1606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Loss of connection during heavy net load

Ryan Robitaille
Guter Nachmittag,
I just wanted to say that ASL is an excellent product; keep up the good work. However, I did notice something strange; Last week I was running some network discovery applications for a project of mine. At on point, under heavy network load on my PC (gkrellm showed about 1.5Mbit; my full development segment) most of the users who get thier internet connection through Astaro (1.793) lost it for an undeterminated amount of time (about 5 mins?). The PSD notify was sending me eMails like crazy at the time. It went back to normal shortly thereafter with no changes from us, it just seemed very odd. I have since not repeated my scan.  [:)]
Thanks,

Ryan Robitaille


This thread was automatically locked due to age.
Parents
  • 0
    Hello Ryan,

    thank you for the praise  [:)]

    Yes, the situation you have described is possible in some cases. I assume you use the masquerading on your network segment. After some port scans the PSD has interpreted new network connection attempts from your segment as further port scans and has dropped the appropriate packets. Fortunately the PSD paranoia is of short duration, and you've got your net back soon  [;)]

    Greetings from Germany
  • 0 in reply to Dennis Koslowski
    OOOps.
    Guys, this sounds like straight DoS.
    swith of the whole network for 5 minutes, thats enough for very nice ip spoofing sesion on local network...To protect network from flood and for resources recovery 15-30 seconds would be quiet enough. definetely nto a5 minutes.
    BTW, what exactly network discovery tool we are talking about and if that is possible, please post scanning technique you've been used for network discovery. I suspecting personaly SYN stealth with fragmentation option swithed on. i had that going even on NFR NIDS dedicated box. it didn't handle fragmented packets properly.
    kindest regards
  • 0 in reply to warez69
    Actually, the devices had already been discovered, through earlier ping sweeps, I was going through each of them with a (goo guess) SYN stealth port scan and TCP/IP fingerprinting. The ping sweeps had been timed better, as not to cause any alarm. 
    Thanks for the help, guys.
  • 0 in reply to Ryan Robitaille
    No, guys, it's not a DoS.

    The PSD will block _new_ connections from a _single_ IP for about 2 seconds. The rest is the masqerading & SYN,ACK timeout.
Reply Children
No Data
Unfiltered HTML