Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 2 subscribers
  • Views 9138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unknown Outbound Traffic (revisited)

Jim Tagert
https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32198

Lets try this again...

I am curious about the traffic from IP addresses:
128.242.114.242 (rdns mail2.after.college.com) at NTT America.
218.213.238.228 (no rdns) at HKNET-Hong Kong.
213.198.65.27 (rdns euu0300091-pip.eu.verio.net) NTT/Verio Europe.
69.10.147.66 (rdns unknown.rackforce.com) at RackForce Hosting.

Specifically regarding src port 2080.

src port is always 2080
dst port varies (30000-59999)
all traffic is tcp
The only proxys involved are on/in the ASG box. If any other proxies outside my modem exist I would like to know.

Since from what I have observed, up2date appears to use only ports 443 and 80. Because of this belief, the traffic described herein appears odd to me. 

Does up2date also require port 2080 to function correctly or close a connection? The packet data captured in front of the ASG indicates that the connection is trying to close and is retransmitting. These retransmissions are what the ASG's packet capture feature is logging. I do not know what the standard is for making sure a port is closed, but since the traffic is tcp and not udp I do not believe that 24 packets are required to close a connection. Which is what the ASG logged this morning from 09:38 to 10:00 GMT from IP 128.242.114.242 to two different dst ports (48775 and 37739). Am I wrong about anything I have stated?

Note: I have port 2080 blocked in the packet filter rules (along with many other ports). 

This traffic causes me some anxiety since I do not know the purpose of the traffic's original cause.

Will someone please explain this traffic?

Note: All my log data is sent to both Mynetwatchman and Dshield.

out.


This thread was automatically locked due to age.
Parents
  • 0
    Aaahhhh, come on guys...

    Somebody take a shot at it...
  • 0 in reply to Jim Tagert
    Is it hitting you from the internet, or coming from your network?

    There are apparently some trojans which use 2080.

    Barry
  • 0 in reply to BarryG
    Is it hitting you from the internet, or coming from your network?

    There are apparently some trojans which use 2080.

    Barry


    The traffic is from the internet. 
    The src port is 2080

    From these IP addresses (could be spoofed):

    128.242.114.242 (rdns mail2.after.college.com) at NTT America.
    218.213.238.228 (no rdns) at HKNET-Hong Kong.
    213.198.65.27 (rdns euu0300091-pip.eu.verio.net) NTT/Verio Europe.
    69.10.147.66 (rdns unknown.rackforce.com) at RackForce Hosting.
  • 0 in reply to Jim Tagert
    The traffic is from the internet. 
    The src port is 2080


    Probably a botnet looking for bots.

    Be glad the firewall is doing its job.

    Barry
  • 0 in reply to BarryG
    So you really think this is traffic looking for bots? 

    Do you think the IP addresses are spoofed as well? 

    I have hours of these logs with various IP addresses, all seem to coincide with up2date server IP ranges. 

    Interesting how those sneaky little criminals work, would not you say?

    No.     Time        Source                Destination           Protocol Info
          1 0.000000    128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 36051 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1406907873 TSER=4931157
          2 5002.050894 69.10.147.66          24.243.46.239         TCP      autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991185593 TSER=6234923
          3 5121.964173 69.10.147.66          24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991305593 TSER=6234923
          4 5361.997855 69.10.147.66          24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991545593 TSER=6234923
          5 5997.468149 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507984730 TSER=6495533
          6 5997.503735 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 59825 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=507984730 TSER=6495533
          7 5998.083821 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507985342 TSER=6495533
          8 5999.307837 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507986566 TSER=6495533
          9 6001.784152 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507989014 TSER=6495533
         10 6006.676418 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507993910 TSER=6495533
         11 6016.441611 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508003702 TSER=6495533
         12 6036.066919 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508023286 TSER=6495533
         13 6075.226473 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508062454 TSER=6495533
         14 6153.582128 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508140790 TSER=6495533
         15 6273.497976 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508260790 TSER=6495533
         16 11579.873268 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513567684 TSER=7820782
         17 11579.937626 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 55324 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=513567684 TSER=7820782
         18 11597.455024 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513585234 TSER=7820782
         19 11632.621931 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513620334 TSER=7820782
         20 11702.744630 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513690534 TSER=7820782
         21 11822.732200 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513810534 TSER=7820782
         22 25363.398335 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477592608 TSER=11311383
         23 25363.569469 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 44284 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=1477592608 TSER=11311383
         24 25368.766746 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477597849 TSER=11311383
         25 25379.318392 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477608331 TSER=11311383
         26 25400.069415 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477629295 TSER=11311383
         27 25442.190067 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477671223 TSER=11311383
         28 25525.886958 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477755079 TSER=11311383
         29 25645.841610 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477875079 TSER=11311383
         30 26660.635170 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433575303 TSER=11636583
         31 26660.670349 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 55635 [ACK] Seq=1449 Ack=1 Win=1716 Len=1448 TSV=1433575303 TSER=11636583
         32 26661.054764 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433575588 TSER=11636583
         33 26661.494959 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433576158 TSER=11636583
         34 26662.662766 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433577298 TSER=11636583
         35 26664.962824 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433579578 TSER=11636583
         36 26669.531569 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433584138 TSER=11636583
         37 26678.604333 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433593258 TSER=11636583
         38 26696.830065 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433611498 TSER=11636583
         39 26733.317524 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433647978 TSER=11636583
         40 26806.343918 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433720938 TSER=11636583
         41 26926.295387 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433840938 TSER=11636583
         42 30852.744216 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483082442 TSER=12651963
         43 30852.808165 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 56218 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=1483082442 TSER=12651963
         44 30854.157871 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483083996 TSER=12651963
         45 30857.320293 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483087104 TSER=12651963
         46 30863.540371 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483093320 TSER=12651963
         47 30875.969439 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483105752 TSER=12651963
         48 30900.788930 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483130616 TSER=12651963
         49 30950.623164 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483180344 TSER=12651963
         50 31049.941906 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483279800 TSER=12651963
  • 0 in reply to Jim Tagert
    Looks like you're on a cable (tw cable, comcast, etc.) connection... no telling what they are scanning for, without a TCPDump of the traffic (can be run from the console on the astaro, google for info on how to use it)... the firewall is doing it's job.  Cable connection ranges are a favorite of the little miscreants that bounce about the internet.  

    BTW, I'd Search / Replace your external IP with "my.external.ip.address" or something like that when you post logs, etc.  No telling what mischevious soul would use that info to bash on your connection later.
Reply
  • 0 in reply to Jim Tagert
    Looks like you're on a cable (tw cable, comcast, etc.) connection... no telling what they are scanning for, without a TCPDump of the traffic (can be run from the console on the astaro, google for info on how to use it)... the firewall is doing it's job.  Cable connection ranges are a favorite of the little miscreants that bounce about the internet.  

    BTW, I'd Search / Replace your external IP with "my.external.ip.address" or something like that when you post logs, etc.  No telling what mischevious soul would use that info to bash on your connection later.
Children
No Data