Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 2 subscribers
  • Views 9120 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unknown Outbound Traffic (revisited)

Jim Tagert
https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32198

Lets try this again...

I am curious about the traffic from IP addresses:
128.242.114.242 (rdns mail2.after.college.com) at NTT America.
218.213.238.228 (no rdns) at HKNET-Hong Kong.
213.198.65.27 (rdns euu0300091-pip.eu.verio.net) NTT/Verio Europe.
69.10.147.66 (rdns unknown.rackforce.com) at RackForce Hosting.

Specifically regarding src port 2080.

src port is always 2080
dst port varies (30000-59999)
all traffic is tcp
The only proxys involved are on/in the ASG box. If any other proxies outside my modem exist I would like to know.

Since from what I have observed, up2date appears to use only ports 443 and 80. Because of this belief, the traffic described herein appears odd to me. 

Does up2date also require port 2080 to function correctly or close a connection? The packet data captured in front of the ASG indicates that the connection is trying to close and is retransmitting. These retransmissions are what the ASG's packet capture feature is logging. I do not know what the standard is for making sure a port is closed, but since the traffic is tcp and not udp I do not believe that 24 packets are required to close a connection. Which is what the ASG logged this morning from 09:38 to 10:00 GMT from IP 128.242.114.242 to two different dst ports (48775 and 37739). Am I wrong about anything I have stated?

Note: I have port 2080 blocked in the packet filter rules (along with many other ports). 

This traffic causes me some anxiety since I do not know the purpose of the traffic's original cause.

Will someone please explain this traffic?

Note: All my log data is sent to both Mynetwatchman and Dshield.

out.


This thread was automatically locked due to age.
  • 0
    Aaahhhh, come on guys...

    Somebody take a shot at it...
  • 0 in reply to Jim Tagert
    Is it hitting you from the internet, or coming from your network?

    There are apparently some trojans which use 2080.

    Barry
  • 0 in reply to BarryG
    Is it hitting you from the internet, or coming from your network?

    There are apparently some trojans which use 2080.

    Barry


    The traffic is from the internet. 
    The src port is 2080

    From these IP addresses (could be spoofed):

    128.242.114.242 (rdns mail2.after.college.com) at NTT America.
    218.213.238.228 (no rdns) at HKNET-Hong Kong.
    213.198.65.27 (rdns euu0300091-pip.eu.verio.net) NTT/Verio Europe.
    69.10.147.66 (rdns unknown.rackforce.com) at RackForce Hosting.
  • 0 in reply to Jim Tagert
    The traffic is from the internet. 
    The src port is 2080


    Probably a botnet looking for bots.

    Be glad the firewall is doing its job.

    Barry
  • 0 in reply to BarryG
    So you really think this is traffic looking for bots? 

    Do you think the IP addresses are spoofed as well? 

    I have hours of these logs with various IP addresses, all seem to coincide with up2date server IP ranges. 

    Interesting how those sneaky little criminals work, would not you say?

    No.     Time        Source                Destination           Protocol Info
          1 0.000000    128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 36051 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1406907873 TSER=4931157
          2 5002.050894 69.10.147.66          24.243.46.239         TCP      autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991185593 TSER=6234923
          3 5121.964173 69.10.147.66          24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991305593 TSER=6234923
          4 5361.997855 69.10.147.66          24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991545593 TSER=6234923
          5 5997.468149 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507984730 TSER=6495533
          6 5997.503735 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 59825 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=507984730 TSER=6495533
          7 5998.083821 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507985342 TSER=6495533
          8 5999.307837 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507986566 TSER=6495533
          9 6001.784152 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507989014 TSER=6495533
         10 6006.676418 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507993910 TSER=6495533
         11 6016.441611 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508003702 TSER=6495533
         12 6036.066919 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508023286 TSER=6495533
         13 6075.226473 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508062454 TSER=6495533
         14 6153.582128 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508140790 TSER=6495533
         15 6273.497976 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508260790 TSER=6495533
         16 11579.873268 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513567684 TSER=7820782
         17 11579.937626 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 55324 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=513567684 TSER=7820782
         18 11597.455024 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513585234 TSER=7820782
         19 11632.621931 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513620334 TSER=7820782
         20 11702.744630 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513690534 TSER=7820782
         21 11822.732200 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513810534 TSER=7820782
         22 25363.398335 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477592608 TSER=11311383
         23 25363.569469 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 44284 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=1477592608 TSER=11311383
         24 25368.766746 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477597849 TSER=11311383
         25 25379.318392 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477608331 TSER=11311383
         26 25400.069415 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477629295 TSER=11311383
         27 25442.190067 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477671223 TSER=11311383
         28 25525.886958 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477755079 TSER=11311383
         29 25645.841610 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477875079 TSER=11311383
         30 26660.635170 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433575303 TSER=11636583
         31 26660.670349 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 55635 [ACK] Seq=1449 Ack=1 Win=1716 Len=1448 TSV=1433575303 TSER=11636583
         32 26661.054764 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433575588 TSER=11636583
         33 26661.494959 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433576158 TSER=11636583
         34 26662.662766 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433577298 TSER=11636583
         35 26664.962824 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433579578 TSER=11636583
         36 26669.531569 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433584138 TSER=11636583
         37 26678.604333 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433593258 TSER=11636583
         38 26696.830065 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433611498 TSER=11636583
         39 26733.317524 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433647978 TSER=11636583
         40 26806.343918 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433720938 TSER=11636583
         41 26926.295387 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433840938 TSER=11636583
         42 30852.744216 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483082442 TSER=12651963
         43 30852.808165 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 56218 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=1483082442 TSER=12651963
         44 30854.157871 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483083996 TSER=12651963
         45 30857.320293 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483087104 TSER=12651963
         46 30863.540371 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483093320 TSER=12651963
         47 30875.969439 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483105752 TSER=12651963
         48 30900.788930 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483130616 TSER=12651963
         49 30950.623164 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483180344 TSER=12651963
         50 31049.941906 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483279800 TSER=12651963
  • 0 in reply to Jim Tagert
    Looks like you're on a cable (tw cable, comcast, etc.) connection... no telling what they are scanning for, without a TCPDump of the traffic (can be run from the console on the astaro, google for info on how to use it)... the firewall is doing it's job.  Cable connection ranges are a favorite of the little miscreants that bounce about the internet.  

    BTW, I'd Search / Replace your external IP with "my.external.ip.address" or something like that when you post logs, etc.  No telling what mischevious soul would use that info to bash on your connection later.
  • 0 in reply to Jim Tagert
    You can't spoof TCP sessions (although SYN's and RST's can be spoofed).

    BTW, the subject was "Unknown OUTBOUND traffic"... what makes you think it's outbound?

    Barry
  • 0 in reply to BarryG
    Probably will have to use a couple of posts...

    No.     Time        Source                Destination           Protocol Info
          2 8626.640771 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 53563 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=2519198501 TSER=3478199

    Frame 2 (1514 bytes on wire, 1514 bytes captured)
        Arrival Time: Jan  9, 2009 18:25:59.849922000
        [Time delta from previous captured frame: 8626.640771000 seconds]
        [Time delta from previous displayed frame: 8626.640771000 seconds]
        [Time since reference or first frame: 8626.640771000 seconds]
        Frame Number: 2
        Frame Length: 1514 bytes
        Capture Length: 1514 bytes
        [Frame is marked: False]
        [Protocols in frame: eth:ip:tcp[:D]ata]
        [Coloring Rule Name: TCP]
        [Coloring Rule String: tcp]
    Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
            Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
            Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Type: IP (0x0800)
    Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 1500
        Identification: 0xa1ed (41453)
        Flags: 0x04 (Don't Fragment)
            0... = Reserved bit: Not set
            .1.. = Don't fragment: Set
            ..0. = More fragments: Not set
        Fragment offset: 0
        Time to live: 49
        Protocol: TCP (0x06)
        Header checksum: 0xcf61 [correct]
            [Good: True]
            [Bad : False]
        Source: 128.121.10.114 (128.121.10.114)
        Destination: 24.243.46.239 (24.243.46.239)
    Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1, Ack: 1, Len: 1448
        Source port: autodesk-nlm (2080)
        Destination port: 53563 (53563)
        Sequence number: 1    (relative sequence number)
        [Next sequence number: 1449    (relative sequence number)]
        Acknowledgement number: 1    (relative ack number)
        Header length: 32 bytes
        Flags: 0x10 (ACK)
            0... .... = Congestion Window Reduced (CWR): Not set
            .0.. .... = ECN-Echo: Not set
            ..0. .... = Urgent: Not set
            ...1 .... = Acknowledgment: Set
            .... 0... = Push: Not set
            .... .0.. = Reset: Not set
            .... ..0. = Syn: Not set
            .... ...0 = Fin: Not set
        Window size: 6432
        Checksum: 0x87da [correct]
            [Good Checksum: True]
            [Bad Checksum: False]
        Options: (12 bytes)
            NOP
            NOP
            Timestamps: TSval 2519198501, TSecr 3478199
    Data (1448 bytes)
        Data: 485454502F312E3120323030204F4B0D0A436F6E6E656374...

    0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
    0010  05 dc a1 ed 40 00 31 06 cf 61 80 79 0a 72 18 f3   ....@.1..a.y.r..
    0020  2e ef 08 20 d1 3b 3c 21 36 56 fc f1 fa f2 80 10   ... .;V
    0300  7b e1 88 8f 04 e1 19 ef 3d 56 66 78 37 de 41 e9   {.......=Vfx7.A.
    0310  d3 9d b7 2e ed 8b 0c 92 04 85 9d f5 e3 0c 82 9d   ................
    0320  ff 0a 33 1a 1b c8 07 3b 0b 38 91 2a b3 d8 19 13   ..3....;.8.*....
    0330  ca 17 3b ff f5 b3 2f 16 91 b7 f3 8f af be 07 20   ..;.../........ 
    0340  5f bf a3 0d 99 7e 52 b6 47 8b 24 63 ce 5f 1f 26   _....~R.G.$c._.&
    0350  2e eb 08 86 e4 03 7f 8d 8c bf 7d fb a8 75 b5 0e   ..........}..u..
    0360  7f 61 d5 01 28 4d 2c c6 bc 6f 9f da 0f 60 1e ab   .a..(M,..o...`..
    0370  19 df e4 5f 7e d3 bb ae df 5f 1e f1 be d3 44 7a   ..._~...._....Dz
    0380  45 07 8f 99 a2 3e 74 f2 65 a8 e0 dc 62 63 a6 8b   E....>t.e...bc..
    0390  f9 0d 8e ec 7b 69 b7 8d 8e ee 6f d6 bd 45 67 8f   ....{i....o..Eg.
    03a0  b3 81 66 ba 09 2c f7 7c c4 16 8f 39 a3 98 9e 3d   ..f..,.|...9...=
    03b0  a2 22 a6 ba 7b 0d 61 8f f9 a6 b2 bb 0d 8f 79 71   ."..{.a.......yq
    03c0  59 9d 09 0c be dc 63 b8 a6 bb 7b 19 cf 7d f2 be   Y.....c...{..}..
    03d0  eb b3 f6 9c 7d 85 89 bf 9a fb b6 4d 11 bf 4b ee   ....}......M..K.
    03e0  e6 ea ea cc 32 45 f8 45 6f ed 71 68 73 bd 89 66   ....2E.Eo.qhs..f
    03f0  f3 77 af 78 83 70 db 63 73 66 bb 7d 19 a3 3b 56   .w.x.p.csf.}..;V
    0400  4f 78 45 2f ef a5 25 8e 99 b2 8c 9a ee 31 4d 3e   OxE/..%......1M>
    0410  b7 41 4d dc 5b 06 ba bd bf d0 d3 bd b5 b3 bd 47   .AM.[..........G
    0420  be a7 91 11 7f 5e aa f1 20 a7 38 c1 3f b2 b7 6e   .....^.. .8.?..n
    0430  33 25 7a c5 1e 8f 18 a7 9e bc f1 51 8f 7b 04 ee   3%z........Q.{..
    0440  71 c1 32 bd 7f 2d cf a2 b9 de 95 d3 2c f8 85 53   q.2..-......,..S
    0450  8f ba bf a2 ce 67 d2 dc ab 58 ef cd 67 78 d1 d3   .....g...X..gx..
    0460  54 7c 15 4e dd 57 56 ba 15 6e dd 63 7c 7e b0 c0   T|.N.WV..n.c|~..
    0470  73 eb 85 d3 7c 57 ef fd e8 67 bb 4b 1e b1 93 d3   s...|W...g.K....
    0480  35 7a 45 6f 8f 58 bd 18 ba 3d a2 1a 66 ba e9 19   5zEo.X...=..f...
    0490  9b 3f a2 7e 54 1e 19 9f 3e bb 07 fe d4 5d ef 7e   .?.~T...>....].~
    04a0  23 af 65 6c e0 6b e9 fe a9 6f 61 6d e0 f8 9e dc   #.el.k...oam....
    04b0  38 80 46 7c ef 06 f8 2c 8b d9 95 db 46 88 8f 8d   8.F|...,....F...
    04c0  8f 0b 6c fc 3a 82 37 ff 1c 75 d2 3a e5 b9 3a e9   ..l.:.7..u.:..:.
    04d0  db 59 d2 00 83 51 94 d8 03 22 56 ca eb 53 c6 d3   .Y...Q..."V..S..
    04e0  c7 77 72 66 64 6b 7b 56 66 62 7a 72 56 64 63 7f   .wrfdk{VfbzrVdc.
    04f0  74 30 19 7e 58 4e fa 67 a6 3e 2d 13 84 0d 84 14   t0.~XN.g.>-.....
    0500  89 0b 85 02 3b 5f 89 84 8c 1c 88 23 3e 1b bb 8e   ....;_.....#>...
    0510  f6 09 74 b1 34 b2 72 f0 d2 85 fd a3 d4 14 65 c0   ..t.4.r.......e.
    0520  c9 7e b7 ff 2b 09 07 13 32 62 6a 7d 7d e3 e3 e0   .~..+...2bj}}...
    0530  28 a5 a3 0e 50 9e c8 70 33 f8 e9 ae 59 e4 9c af   (...P..p3...Y...
    0540  b7 3b af 35 c0 c4 cc 9c c7 04 00 60 7a 01 64 ab   .;.5.......`z.d.
  • 0 in reply to Jim Tagert
    No.     Time        Source                Destination           Protocol Info
          3 8626.676273 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 53563 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=2519198501 TSER=3478199

    Frame 3 (1514 bytes on wire, 1514 bytes captured)
        Arrival Time: Jan  9, 2009 18:25:59.885424000
        [Time delta from previous captured frame: 0.035502000 seconds]
        [Time delta from previous displayed frame: 0.035502000 seconds]
        [Time since reference or first frame: 8626.676273000 seconds]
        Frame Number: 3
        Frame Length: 1514 bytes
        Capture Length: 1514 bytes
        [Frame is marked: False]
        [Protocols in frame: eth:ip:tcp[:D]ata]
        [Coloring Rule Name: TCP]
        [Coloring Rule String: tcp]
    Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
            Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
            Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Type: IP (0x0800)
    Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 1500
        Identification: 0xa1ef (41455)
        Flags: 0x04 (Don't Fragment)
            0... = Reserved bit: Not set
            .1.. = Don't fragment: Set
            ..0. = More fragments: Not set
        Fragment offset: 0
        Time to live: 49
        Protocol: TCP (0x06)
        Header checksum: 0xcf5f [correct]
            [Good: True]
            [Bad : False]
        Source: 128.121.10.114 (128.121.10.114)
        Destination: 24.243.46.239 (24.243.46.239)
    Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1449, Ack: 1, Len: 1448
        Source port: autodesk-nlm (2080)
        Destination port: 53563 (53563)
        Sequence number: 1449    (relative sequence number)
        [Next sequence number: 2897    (relative sequence number)]
        Acknowledgement number: 1    (relative ack number)
        Header length: 32 bytes
        Flags: 0x10 (ACK)
            0... .... = Congestion Window Reduced (CWR): Not set
            .0.. .... = ECN-Echo: Not set
            ..0. .... = Urgent: Not set
            ...1 .... = Acknowledgment: Set
            .... 0... = Push: Not set
            .... .0.. = Reset: Not set
            .... ..0. = Syn: Not set
            .... ...0 = Fin: Not set
        Window size: 6432
        Checksum: 0x9853 [correct]
            [Good Checksum: True]
            [Bad Checksum: False]
        Options: (12 bytes)
            NOP
            NOP
            Timestamps: TSval 2519198501, TSecr 3478199
    Data (1448 bytes)
        Data: 67FB93EFA383DFBFF35FAB469F4AC54E2008EF6DE2FB7E2B...

    0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
    0010  05 dc a1 ef 40 00 31 06 cf 5f 80 79 0a 72 18 f3   ....@.1.._.y.r..
    0020  2e ef 08 20 d1 3b 3c 21 3b fe fc f1 fa f2 80 10   ... .;
    00c0  28 9b be 15 58 7f b7 3a 23 00 bd b5 82 f2 bc 29   (...X..:#......)
    00d0  bd 74 0f 29 e6 30 f4 b3 b3 06 76 db 02 0c ef 4a   .t.).0....v....J
    00e0  c4 4c bf 53 a7 e7 82 fb ef 8d 4c 05 7e c9 5f bf   .L.S......L.~._.
    00f0  4c 2d a1 e5 41 83 92 7b 80 58 e0 6c 0e 5c 29 e4   L-..A..{.X.l.\).
    0100  84 43 48 58 e7 cc 9c 9d eb 79 1b 98 3c bf eb bf   .CHX.....y.......}
    0170  80 53 06 94 2d 7f 8d 43 cf 94 f2 5f 1f 8c 5b 88   .S..-..C..._..[.
    0180  42 46 91 c1 9d c1 0f d7 02 41 89 db 49 0b a8 d1   BF.......A..I...
    0190  48 ce 60 27 98 fd 70 7e e7 21 65 1e be 87 c2 fa   H.`'..p~.!e.....
    01a0  e5 26 c2 91 cd 13 cc 03 af 45 bb 3f 46 f6 47 42   .&.......E.?F.GB
    01b0  d8 cd 96 46 be cd 7d 31 ea 6c 04 51 78 98 1f 28   ...F..}1.l.Qx..(
    01c0  92 60 aa 07 d3 16 5c c8 d9 26 05 80 ea eb 3e 2e   .`....\..&....>.
    01d0  ae 79 b9 f4 5a a0 15 bc 19 ed 0d ba 2c 7a 54 73   .y..Z.......,zTs
    01e0  f9 1e 6a 08 19 50 ef b6 f2 3e 77 57 1d fa 96 7a   ..j..P...>wW...z
    01f0  dc da 78 59 95 95 dc 52 b2 df c6 1f 37 3b 38 9b   ..xY...R....7;8.
    0200  f4 18 eb a5 17 52 2d 35 34 4e ee 39 3f 9a 57 b3   .....R-54N.9?.W.
    0210  34 77 1a 55 28 35 29 d4 2f d7 93 b5 0b ed 5b 23   4w.U(5)./.....[#
    0220  3d a1 5f df 71 57 1c 1f aa 36 e8 95 b2 23 6a 76   =._.qW...6...#jv
    0230  0c 8b 66 bf 1c 60 26 76 6b ef 3c df cd d5 2f f7   ..f..`&vk.1GJ....=...x~!.
    0300  64 63 96 1a aa ea 24 fe 52 be 7c a0 0c 7d 89 43   dc....$.R.|..}.C
    0310  6e 08 b8 b0 4f 64 29 c7 b6 ba 51 96 6a bf 44 ff   n...Od)...Q.j.D.
    0320  26 36 b8 51 35 55 88 d4 9c a4 76 66 f5 0b 5f bd   &6.Q5U....vf.._.
    0330  7a 46 e9 3b 8c 98 cb 9d d3 63 41 09 fd c3 ca e7   zF.;.....cA.....
    0340  e1 b1 a9 f0 78 25 96 04 03 55 40 98 d0 7b 63 ce   ....x%...U@..{c.
    0350  41 6d f1 13 2b a1 01 96 68 b2 77 f9 b4 6e b6 b8   Am..+...h.w..n..
    0360  b6 30 b8 20 76 d7 da d1 7a 08 1a e2 7e 86 5d bc   .0. v...z...~.].
    0370  55 04 95 b9 58 3d 3a 77 61 bd a9 17 59 f9 30 12   U...X=:wa...Y.0.
    0380  d0 12 9b b2 d4 68 92 25 92 aa 18 48 55 c6 e1 b8   .....h.%...HU...
    0390  7c af 6e a2 7e 5a 28 22 91 d1 6c da 7e 9b 1b 27   |.n.~Z("..l.~..'
    03a0  f4 23 f1 14 db bd c8 aa 6f 61 61 9e 8c 20 2f 13   .#......oaa.. /.
    03b0  3d a9 41 2d 24 50 34 5c 15 c7 33 0a b9 f3 dc 7b   =.A-$P4\..3....{
    03c0  74 6a b7 1e 50 80 32 d0 70 3d 8d 2c d1 b8 59 4e   tj..P.2.p=.,..YN
    03d0  af ab 64 46 06 db 54 3c ad b5 12 63 0f 81 8c 4d   ..dF..T
  • 0 in reply to Jim Tagert
    No.     Time        Source                Destination           Protocol Info
          4 8746.615732 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 53563 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=2519318501 TSER=3478199

    Frame 4 (1514 bytes on wire, 1514 bytes captured)
        Arrival Time: Jan  9, 2009 18:27:59.824883000
        [Time delta from previous captured frame: 119.939459000 seconds]
        [Time delta from previous displayed frame: 119.939459000 seconds]
        [Time since reference or first frame: 8746.615732000 seconds]
        Frame Number: 4
        Frame Length: 1514 bytes
        Capture Length: 1514 bytes
        [Frame is marked: False]
        [Protocols in frame: eth:ip:tcp[:D]ata]
        [Coloring Rule Name: Bad TCP]
        [Coloring Rule String: tcp.analysis.flags]
    Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
            Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
            Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
            .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
            .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        Type: IP (0x0800)
    Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 1500
        Identification: 0xa1f1 (41457)
        Flags: 0x04 (Don't Fragment)
            0... = Reserved bit: Not set
            .1.. = Don't fragment: Set
            ..0. = More fragments: Not set
        Fragment offset: 0
        Time to live: 49
        Protocol: TCP (0x06)
        Header checksum: 0xcf5d [correct]
            [Good: True]
            [Bad : False]
        Source: 128.121.10.114 (128.121.10.114)
        Destination: 24.243.46.239 (24.243.46.239)
    Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1, Ack: 1, Len: 1448
        Source port: autodesk-nlm (2080)
        Destination port: 53563 (53563)
        Sequence number: 1    (relative sequence number)
        [Next sequence number: 1449    (relative sequence number)]
        Acknowledgement number: 1    (relative ack number)
        Header length: 32 bytes
        Flags: 0x10 (ACK)
            0... .... = Congestion Window Reduced (CWR): Not set
            .0.. .... = ECN-Echo: Not set
            ..0. .... = Urgent: Not set
            ...1 .... = Acknowledgment: Set
            .... 0... = Push: Not set
            .... .0.. = Reset: Not set
            .... ..0. = Syn: Not set
            .... ...0 = Fin: Not set
        Window size: 6432
        Checksum: 0xb318 [correct]
            [Good Checksum: True]
            [Bad Checksum: False]
        Options: (12 bytes)
            NOP
            NOP
            Timestamps: TSval 2519318501, TSecr 3478199
        [SEQ/ACK analysis]
            [TCP Analysis Flags]
                [This frame is a (suspected) retransmission]
                [The RTO for this segment was: 119.939459000 seconds]
                [RTO based on delta from frame: 3]
    Data (1448 bytes)
        Data: 485454502F312E3120323030204F4B0D0A436F6E6E656374...

    0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
    0010  05 dc a1 f1 40 00 31 06 cf 5d 80 79 0a 72 18 f3   ....@.1..].y.r..
    0020  2e ef 08 20 d1 3b 3c 21 36 56 fc f1 fa f2 80 10   ... .;V
    0300  7b e1 88 8f 04 e1 19 ef 3d 56 66 78 37 de 41 e9   {.......=Vfx7.A.
    0310  d3 9d b7 2e ed 8b 0c 92 04 85 9d f5 e3 0c 82 9d   ................
    0320  ff 0a 33 1a 1b c8 07 3b 0b 38 91 2a b3 d8 19 13   ..3....;.8.*....
    0330  ca 17 3b ff f5 b3 2f 16 91 b7 f3 8f af be 07 20   ..;.../........ 
    0340  5f bf a3 0d 99 7e 52 b6 47 8b 24 63 ce 5f 1f 26   _....~R.G.$c._.&
    0350  2e eb 08 86 e4 03 7f 8d 8c bf 7d fb a8 75 b5 0e   ..........}..u..
    0360  7f 61 d5 01 28 4d 2c c6 bc 6f 9f da 0f 60 1e ab   .a..(M,..o...`..
    0370  19 df e4 5f 7e d3 bb ae df 5f 1e f1 be d3 44 7a   ..._~...._....Dz
    0380  45 07 8f 99 a2 3e 74 f2 65 a8 e0 dc 62 63 a6 8b   E....>t.e...bc..
    0390  f9 0d 8e ec 7b 69 b7 8d 8e ee 6f d6 bd 45 67 8f   ....{i....o..Eg.
    03a0  b3 81 66 ba 09 2c f7 7c c4 16 8f 39 a3 98 9e 3d   ..f..,.|...9...=
    03b0  a2 22 a6 ba 7b 0d 61 8f f9 a6 b2 bb 0d 8f 79 71   ."..{.a.......yq
    03c0  59 9d 09 0c be dc 63 b8 a6 bb 7b 19 cf 7d f2 be   Y.....c...{..}..
    03d0  eb b3 f6 9c 7d 85 89 bf 9a fb b6 4d 11 bf 4b ee   ....}......M..K.
    03e0  e6 ea ea cc 32 45 f8 45 6f ed 71 68 73 bd 89 66   ....2E.Eo.qhs..f
    03f0  f3 77 af 78 83 70 db 63 73 66 bb 7d 19 a3 3b 56   .w.x.p.csf.}..;V
    0400  4f 78 45 2f ef a5 25 8e 99 b2 8c 9a ee 31 4d 3e   OxE/..%......1M>
    0410  b7 41 4d dc 5b 06 ba bd bf d0 d3 bd b5 b3 bd 47   .AM.[..........G
    0420  be a7 91 11 7f 5e aa f1 20 a7 38 c1 3f b2 b7 6e   .....^.. .8.?..n
    0430  33 25 7a c5 1e 8f 18 a7 9e bc f1 51 8f 7b 04 ee   3%z........Q.{..
    0440  71 c1 32 bd 7f 2d cf a2 b9 de 95 d3 2c f8 85 53   q.2..-......,..S
    0450  8f ba bf a2 ce 67 d2 dc ab 58 ef cd 67 78 d1 d3   .....g...X..gx..
    0460  54 7c 15 4e dd 57 56 ba 15 6e dd 63 7c 7e b0 c0   T|.N.WV..n.c|~..
    0470  73 eb 85 d3 7c 57 ef fd e8 67 bb 4b 1e b1 93 d3   s...|W...g.K....
    0480  35 7a 45 6f 8f 58 bd 18 ba 3d a2 1a 66 ba e9 19   5zEo.X...=..f...
    0490  9b 3f a2 7e 54 1e 19 9f 3e bb 07 fe d4 5d ef 7e   .?.~T...>....].~
    04a0  23 af 65 6c e0 6b e9 fe a9 6f 61 6d e0 f8 9e dc   #.el.k...oam....
    04b0  38 80 46 7c ef 06 f8 2c 8b d9 95 db 46 88 8f 8d   8.F|...,....F...
    04c0  8f 0b 6c fc 3a 82 37 ff 1c 75 d2 3a e5 b9 3a e9   ..l.:.7..u.:..:.
    04d0  db 59 d2 00 83 51 94 d8 03 22 56 ca eb 53 c6 d3   .Y...Q..."V..S..
    04e0  c7 77 72 66 64 6b 7b 56 66 62 7a 72 56 64 63 7f   .wrfdk{VfbzrVdc.
    04f0  74 30 19 7e 58 4e fa 67 a6 3e 2d 13 84 0d 84 14   t0.~XN.g.>-.....
    0500  89 0b 85 02 3b 5f 89 84 8c 1c 88 23 3e 1b bb 8e   ....;_.....#>...
    0510  f6 09 74 b1 34 b2 72 f0 d2 85 fd a3 d4 14 65 c0   ..t.4.r.......e.
    0520  c9 7e b7 ff 2b 09 07 13 32 62 6a 7d 7d e3 e3 e0   .~..+...2bj}}...
    0530  28 a5 a3 0e 50 9e c8 70 33 f8 e9 ae 59 e4 9c af   (...P..p3...Y...
    0540  b7 3b af 35 c0 c4 cc 9c c7 04 00 60 7a 01 64 ab   .;.5.......`z.d.