This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscan detected google DNS ?

Guten Morgen,

Heute Nacht wurde ich gerade zu bombardiert von der UTM:

A portscan was detected. Details about the event:

Time.............: 2014-06-16 01:13:17

Source IP address: 8.8.8.8 (google-public-dns-a.google.com)

Normalerweise führt ein DNS-Server ja keinen Portscan durch, muss ich mir jetzt Sorgen machen oder reagiert die UTM hier etwas überempfindlich ?

This thread was automatically locked due to age.

Parents

0 sala82 over 8 years ago

Hallo,

hat jemand noch das gleiche Problem? Bekomme auch seit Tagen immer die Mail das die Google DNS Server Portscans machen.

Dadurch fliegt bei uns immer die IP-Telefonie weg und die Leitung ist auch immer dann weg.

Würde mich sehr über eurer Hilfe freuen.
Cancel
Vote Up 0 Vote Down

Cancel
0 Alexander Busch over 8 years ago in reply to sala82

Ich würde sagen es ist kein Zufall, sofern Du Google als DNS Server benutzt, dass die Anfragen von Google stammen. Dies scheint einer gewissen Logik zu folgen.
Hier ein Auszug aus dem IPS Log, wobei das Paket vom DNS Server unseres Providers (QSC) stammt.

2017:04:27-09:39:33 gate-1 ulogd[14139]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="xx:xx:xx:xx:xx:xx" dstmac="xx:xx:xx:xx:xx:xx" srcip="212.202.215.2" dstip="xxx.xxx.xxx.xxx" proto="17" length="124" tos="0x00" prec="0x00" ttl="61" srcport="53" dstport="36330"

Eine Erklärung habe ich dafür momentan leider nicht, außer die Vermutung, dass dies ein Problem der UTM sein könnte.

-
Cancel
Vote Up 0 Vote Down

Cancel

0 Alexander Busch over 5 years ago in reply to Alexander Busch

Hat sonst wirklich keiner dieses Problem?

Bin heute wieder über so einen Eintrag gestolpert.

019:08:23-10:23:00 gate-2 ulogd[10840]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="ppp0" mark="0x307c" app="124" srcip="1.1.1.1" dstip="unsere öffentliche IP" proto="17" length="82" tos="0x00" prec="0x00" ttl="58" srcport="53" dstport="50706"

Reply

0 Alexander Busch over 5 years ago in reply to Alexander Busch

Hat sonst wirklich keiner dieses Problem?

Bin heute wieder über so einen Eintrag gestolpert.

019:08:23-10:23:00 gate-2 ulogd[10840]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="ppp0" mark="0x307c" app="124" srcip="1.1.1.1" dstip="unsere öffentliche IP" proto="17" length="82" tos="0x00" prec="0x00" ttl="58" srcport="53" dstport="50706"

Children

0 BAlfson over 5 years ago in reply to Alexander Busch

Hallo Alex,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

My guess is that some hacker is sending queries to 1.1.1.1 and spoofing your IP as the sending IP. Are you certain that it's not one of your devices sending so many name resolution requests?

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel

Portscan detected google DNS ?

Submitted a Tech Support Case lately from the Support Portal?