Unknown Outbound Traffic (revisited)

Aaahhhh, come on guys...

Somebody take a shot at it...

Is it hitting you from the internet, or coming from your network?

There are apparently some trojans which use 2080.

Barry

Is it hitting you from the internet, or coming from your network?

There are apparently some trojans which use 2080.

Barry

The traffic is from the internet. 
The src port is 2080

From these IP addresses (could be spoofed):

128.242.114.242 (rdns mail2.after.college.com) at NTT America.
218.213.238.228 (no rdns) at HKNET-Hong Kong.
213.198.65.27 (rdns euu0300091-pip.eu.verio.net) NTT/Verio Europe.
69.10.147.66 (rdns unknown.rackforce.com) at RackForce Hosting.

The traffic is from the internet. 
The src port is 2080

Probably a botnet looking for bots.

Be glad the firewall is doing its job.

Barry

So you really think this is traffic looking for bots? 

Do you think the IP addresses are spoofed as well? 

I have hours of these logs with various IP addresses, all seem to coincide with up2date server IP ranges. 

Interesting how those sneaky little criminals work, would not you say?

No.     Time        Source                Destination           Protocol Info
      1 0.000000    128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 36051 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1406907873 TSER=4931157
      2 5002.050894 69.10.147.66          24.243.46.239         TCP      autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991185593 TSER=6234923
      3 5121.964173 69.10.147.66          24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991305593 TSER=6234923
      4 5361.997855 69.10.147.66          24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 41907 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=2991545593 TSER=6234923
      5 5997.468149 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507984730 TSER=6495533
      6 5997.503735 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 59825 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=507984730 TSER=6495533
      7 5998.083821 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507985342 TSER=6495533
      8 5999.307837 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507986566 TSER=6495533
      9 6001.784152 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507989014 TSER=6495533
     10 6006.676418 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=507993910 TSER=6495533
     11 6016.441611 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508003702 TSER=6495533
     12 6036.066919 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508023286 TSER=6495533
     13 6075.226473 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508062454 TSER=6495533
     14 6153.582128 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508140790 TSER=6495533
     15 6273.497976 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 59825 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=508260790 TSER=6495533
     16 11579.873268 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513567684 TSER=7820782
     17 11579.937626 213.198.65.27         24.243.46.239         TCP      autodesk-nlm > 55324 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=513567684 TSER=7820782
     18 11597.455024 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513585234 TSER=7820782
     19 11632.621931 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513620334 TSER=7820782
     20 11702.744630 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513690534 TSER=7820782
     21 11822.732200 213.198.65.27         24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55324 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=513810534 TSER=7820782
     22 25363.398335 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477592608 TSER=11311383
     23 25363.569469 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 44284 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=1477592608 TSER=11311383
     24 25368.766746 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477597849 TSER=11311383
     25 25379.318392 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477608331 TSER=11311383
     26 25400.069415 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477629295 TSER=11311383
     27 25442.190067 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477671223 TSER=11311383
     28 25525.886958 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477755079 TSER=11311383
     29 25645.841610 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 44284 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1477875079 TSER=11311383
     30 26660.635170 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433575303 TSER=11636583
     31 26660.670349 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 55635 [ACK] Seq=1449 Ack=1 Win=1716 Len=1448 TSV=1433575303 TSER=11636583
     32 26661.054764 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433575588 TSER=11636583
     33 26661.494959 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433576158 TSER=11636583
     34 26662.662766 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433577298 TSER=11636583
     35 26664.962824 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433579578 TSER=11636583
     36 26669.531569 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433584138 TSER=11636583
     37 26678.604333 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433593258 TSER=11636583
     38 26696.830065 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433611498 TSER=11636583
     39 26733.317524 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433647978 TSER=11636583
     40 26806.343918 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433720938 TSER=11636583
     41 26926.295387 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 55635 [ACK] Seq=1 Ack=1 Win=1716 Len=1448 TSV=1433840938 TSER=11636583
     42 30852.744216 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483082442 TSER=12651963
     43 30852.808165 218.213.238.228       24.243.46.239         TCP      autodesk-nlm > 56218 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=1483082442 TSER=12651963
     44 30854.157871 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483083996 TSER=12651963
     45 30857.320293 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483087104 TSER=12651963
     46 30863.540371 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483093320 TSER=12651963
     47 30875.969439 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483105752 TSER=12651963
     48 30900.788930 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483130616 TSER=12651963
     49 30950.623164 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483180344 TSER=12651963
     50 31049.941906 218.213.238.228       24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 56218 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=1483279800 TSER=12651963

Looks like you're on a cable (tw cable, comcast, etc.) connection... no telling what they are scanning for, without a TCPDump of the traffic (can be run from the console on the astaro, google for info on how to use it)... the firewall is doing it's job.  Cable connection ranges are a favorite of the little miscreants that bounce about the internet.  

BTW, I'd Search / Replace your external IP with "my.external.ip.address" or something like that when you post logs, etc.  No telling what mischevious soul would use that info to bash on your connection later.

You can't spoof TCP sessions (although SYN's and RST's can be spoofed).

BTW, the subject was "Unknown OUTBOUND traffic"... what makes you think it's outbound?

Barry

You can't spoof TCP sessions (although SYN's and RST's can be spoofed).

BTW, the subject was "Unknown OUTBOUND traffic"... what makes you think it's outbound?

Barry

Probably will have to use a couple of posts...

No.     Time        Source                Destination           Protocol Info
      2 8626.640771 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 53563 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=2519198501 TSER=3478199

Frame 2 (1514 bytes on wire, 1514 bytes captured)
    Arrival Time: Jan  9, 2009 18:25:59.849922000
    [Time delta from previous captured frame: 8626.640771000 seconds]
    [Time delta from previous displayed frame: 8626.640771000 seconds]
    [Time since reference or first frame: 8626.640771000 seconds]
    Frame Number: 2
    Frame Length: 1514 bytes
    Capture Length: 1514 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:tcp[:D]ata]
    [Coloring Rule Name: TCP]
    [Coloring Rule String: tcp]
Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
    Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 1500
    Identification: 0xa1ed (41453)
    Flags: 0x04 (Don't Fragment)
        0... = Reserved bit: Not set
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 49
    Protocol: TCP (0x06)
    Header checksum: 0xcf61 [correct]
        [Good: True]
        [Bad : False]
    Source: 128.121.10.114 (128.121.10.114)
    Destination: 24.243.46.239 (24.243.46.239)
Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1, Ack: 1, Len: 1448
    Source port: autodesk-nlm (2080)
    Destination port: 53563 (53563)
    Sequence number: 1    (relative sequence number)
    [Next sequence number: 1449    (relative sequence number)]
    Acknowledgement number: 1    (relative ack number)
    Header length: 32 bytes
    Flags: 0x10 (ACK)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...1 .... = Acknowledgment: Set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..0. = Syn: Not set
        .... ...0 = Fin: Not set
    Window size: 6432
    Checksum: 0x87da [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
    Options: (12 bytes)
        NOP
        NOP
        Timestamps: TSval 2519198501, TSecr 3478199
Data (1448 bytes)
    Data: 485454502F312E3120323030204F4B0D0A436F6E6E656374...

0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
0010  05 dc a1 ed 40 00 31 06 cf 61 80 79 0a 72 18 f3   ....@.1..a.y.r..
0020  2e ef 08 20 d1 3b 3c 21 36 56 fc f1 fa f2 80 10   ... .;V
0300  7b e1 88 8f 04 e1 19 ef 3d 56 66 78 37 de 41 e9   {.......=Vfx7.A.
0310  d3 9d b7 2e ed 8b 0c 92 04 85 9d f5 e3 0c 82 9d   ................
0320  ff 0a 33 1a 1b c8 07 3b 0b 38 91 2a b3 d8 19 13   ..3....;.8.*....
0330  ca 17 3b ff f5 b3 2f 16 91 b7 f3 8f af be 07 20   ..;.../........ 
0340  5f bf a3 0d 99 7e 52 b6 47 8b 24 63 ce 5f 1f 26   _....~R.G.$c._.&
0350  2e eb 08 86 e4 03 7f 8d 8c bf 7d fb a8 75 b5 0e   ..........}..u..
0360  7f 61 d5 01 28 4d 2c c6 bc 6f 9f da 0f 60 1e ab   .a..(M,..o...`..
0370  19 df e4 5f 7e d3 bb ae df 5f 1e f1 be d3 44 7a   ..._~...._....Dz
0380  45 07 8f 99 a2 3e 74 f2 65 a8 e0 dc 62 63 a6 8b   E....>t.e...bc..
0390  f9 0d 8e ec 7b 69 b7 8d 8e ee 6f d6 bd 45 67 8f   ....{i....o..Eg.
03a0  b3 81 66 ba 09 2c f7 7c c4 16 8f 39 a3 98 9e 3d   ..f..,.|...9...=
03b0  a2 22 a6 ba 7b 0d 61 8f f9 a6 b2 bb 0d 8f 79 71   ."..{.a.......yq
03c0  59 9d 09 0c be dc 63 b8 a6 bb 7b 19 cf 7d f2 be   Y.....c...{..}..
03d0  eb b3 f6 9c 7d 85 89 bf 9a fb b6 4d 11 bf 4b ee   ....}......M..K.
03e0  e6 ea ea cc 32 45 f8 45 6f ed 71 68 73 bd 89 66   ....2E.Eo.qhs..f
03f0  f3 77 af 78 83 70 db 63 73 66 bb 7d 19 a3 3b 56   .w.x.p.csf.}..;V
0400  4f 78 45 2f ef a5 25 8e 99 b2 8c 9a ee 31 4d 3e   OxE/..%......1M>
0410  b7 41 4d dc 5b 06 ba bd bf d0 d3 bd b5 b3 bd 47   .AM.[..........G
0420  be a7 91 11 7f 5e aa f1 20 a7 38 c1 3f b2 b7 6e   .....^.. .8.?..n
0430  33 25 7a c5 1e 8f 18 a7 9e bc f1 51 8f 7b 04 ee   3%z........Q.{..
0440  71 c1 32 bd 7f 2d cf a2 b9 de 95 d3 2c f8 85 53   q.2..-......,..S
0450  8f ba bf a2 ce 67 d2 dc ab 58 ef cd 67 78 d1 d3   .....g...X..gx..
0460  54 7c 15 4e dd 57 56 ba 15 6e dd 63 7c 7e b0 c0   T|.N.WV..n.c|~..
0470  73 eb 85 d3 7c 57 ef fd e8 67 bb 4b 1e b1 93 d3   s...|W...g.K....
0480  35 7a 45 6f 8f 58 bd 18 ba 3d a2 1a 66 ba e9 19   5zEo.X...=..f...
0490  9b 3f a2 7e 54 1e 19 9f 3e bb 07 fe d4 5d ef 7e   .?.~T...>....].~
04a0  23 af 65 6c e0 6b e9 fe a9 6f 61 6d e0 f8 9e dc   #.el.k...oam....
04b0  38 80 46 7c ef 06 f8 2c 8b d9 95 db 46 88 8f 8d   8.F|...,....F...
04c0  8f 0b 6c fc 3a 82 37 ff 1c 75 d2 3a e5 b9 3a e9   ..l.:.7..u.:..:.
04d0  db 59 d2 00 83 51 94 d8 03 22 56 ca eb 53 c6 d3   .Y...Q..."V..S..
04e0  c7 77 72 66 64 6b 7b 56 66 62 7a 72 56 64 63 7f   .wrfdk{VfbzrVdc.
04f0  74 30 19 7e 58 4e fa 67 a6 3e 2d 13 84 0d 84 14   t0.~XN.g.>-.....
0500  89 0b 85 02 3b 5f 89 84 8c 1c 88 23 3e 1b bb 8e   ....;_.....#>...
0510  f6 09 74 b1 34 b2 72 f0 d2 85 fd a3 d4 14 65 c0   ..t.4.r.......e.
0520  c9 7e b7 ff 2b 09 07 13 32 62 6a 7d 7d e3 e3 e0   .~..+...2bj}}...
0530  28 a5 a3 0e 50 9e c8 70 33 f8 e9 ae 59 e4 9c af   (...P..p3...Y...
0540  b7 3b af 35 c0 c4 cc 9c c7 04 00 60 7a 01 64 ab   .;.5.......`z.d.

No.     Time        Source                Destination           Protocol Info
      3 8626.676273 128.121.10.114        24.243.46.239         TCP      autodesk-nlm > 53563 [ACK] Seq=1449 Ack=1 Win=6432 Len=1448 TSV=2519198501 TSER=3478199

Frame 3 (1514 bytes on wire, 1514 bytes captured)
    Arrival Time: Jan  9, 2009 18:25:59.885424000
    [Time delta from previous captured frame: 0.035502000 seconds]
    [Time delta from previous displayed frame: 0.035502000 seconds]
    [Time since reference or first frame: 8626.676273000 seconds]
    Frame Number: 3
    Frame Length: 1514 bytes
    Capture Length: 1514 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:tcp[:D]ata]
    [Coloring Rule Name: TCP]
    [Coloring Rule String: tcp]
Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
    Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 1500
    Identification: 0xa1ef (41455)
    Flags: 0x04 (Don't Fragment)
        0... = Reserved bit: Not set
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 49
    Protocol: TCP (0x06)
    Header checksum: 0xcf5f [correct]
        [Good: True]
        [Bad : False]
    Source: 128.121.10.114 (128.121.10.114)
    Destination: 24.243.46.239 (24.243.46.239)
Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1449, Ack: 1, Len: 1448
    Source port: autodesk-nlm (2080)
    Destination port: 53563 (53563)
    Sequence number: 1449    (relative sequence number)
    [Next sequence number: 2897    (relative sequence number)]
    Acknowledgement number: 1    (relative ack number)
    Header length: 32 bytes
    Flags: 0x10 (ACK)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...1 .... = Acknowledgment: Set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..0. = Syn: Not set
        .... ...0 = Fin: Not set
    Window size: 6432
    Checksum: 0x9853 [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
    Options: (12 bytes)
        NOP
        NOP
        Timestamps: TSval 2519198501, TSecr 3478199
Data (1448 bytes)
    Data: 67FB93EFA383DFBFF35FAB469F4AC54E2008EF6DE2FB7E2B...

0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
0010  05 dc a1 ef 40 00 31 06 cf 5f 80 79 0a 72 18 f3   ....@.1.._.y.r..
0020  2e ef 08 20 d1 3b 3c 21 3b fe fc f1 fa f2 80 10   ... .;
00c0  28 9b be 15 58 7f b7 3a 23 00 bd b5 82 f2 bc 29   (...X..:#......)
00d0  bd 74 0f 29 e6 30 f4 b3 b3 06 76 db 02 0c ef 4a   .t.).0....v....J
00e0  c4 4c bf 53 a7 e7 82 fb ef 8d 4c 05 7e c9 5f bf   .L.S......L.~._.
00f0  4c 2d a1 e5 41 83 92 7b 80 58 e0 6c 0e 5c 29 e4   L-..A..{.X.l.\).
0100  84 43 48 58 e7 cc 9c 9d eb 79 1b 98 3c bf eb bf   .CHX.....y.......}
0170  80 53 06 94 2d 7f 8d 43 cf 94 f2 5f 1f 8c 5b 88   .S..-..C..._..[.
0180  42 46 91 c1 9d c1 0f d7 02 41 89 db 49 0b a8 d1   BF.......A..I...
0190  48 ce 60 27 98 fd 70 7e e7 21 65 1e be 87 c2 fa   H.`'..p~.!e.....
01a0  e5 26 c2 91 cd 13 cc 03 af 45 bb 3f 46 f6 47 42   .&.......E.?F.GB
01b0  d8 cd 96 46 be cd 7d 31 ea 6c 04 51 78 98 1f 28   ...F..}1.l.Qx..(
01c0  92 60 aa 07 d3 16 5c c8 d9 26 05 80 ea eb 3e 2e   .`....\..&....>.
01d0  ae 79 b9 f4 5a a0 15 bc 19 ed 0d ba 2c 7a 54 73   .y..Z.......,zTs
01e0  f9 1e 6a 08 19 50 ef b6 f2 3e 77 57 1d fa 96 7a   ..j..P...>wW...z
01f0  dc da 78 59 95 95 dc 52 b2 df c6 1f 37 3b 38 9b   ..xY...R....7;8.
0200  f4 18 eb a5 17 52 2d 35 34 4e ee 39 3f 9a 57 b3   .....R-54N.9?.W.
0210  34 77 1a 55 28 35 29 d4 2f d7 93 b5 0b ed 5b 23   4w.U(5)./.....[#
0220  3d a1 5f df 71 57 1c 1f aa 36 e8 95 b2 23 6a 76   =._.qW...6...#jv
0230  0c 8b 66 bf 1c 60 26 76 6b ef 3c df cd d5 2f f7   ..f..`&vk.1GJ....=...x~!.
0300  64 63 96 1a aa ea 24 fe 52 be 7c a0 0c 7d 89 43   dc....$.R.|..}.C
0310  6e 08 b8 b0 4f 64 29 c7 b6 ba 51 96 6a bf 44 ff   n...Od)...Q.j.D.
0320  26 36 b8 51 35 55 88 d4 9c a4 76 66 f5 0b 5f bd   &6.Q5U....vf.._.
0330  7a 46 e9 3b 8c 98 cb 9d d3 63 41 09 fd c3 ca e7   zF.;.....cA.....
0340  e1 b1 a9 f0 78 25 96 04 03 55 40 98 d0 7b 63 ce   ....x%...U@..{c.
0350  41 6d f1 13 2b a1 01 96 68 b2 77 f9 b4 6e b6 b8   Am..+...h.w..n..
0360  b6 30 b8 20 76 d7 da d1 7a 08 1a e2 7e 86 5d bc   .0. v...z...~.].
0370  55 04 95 b9 58 3d 3a 77 61 bd a9 17 59 f9 30 12   U...X=:wa...Y.0.
0380  d0 12 9b b2 d4 68 92 25 92 aa 18 48 55 c6 e1 b8   .....h.%...HU...
0390  7c af 6e a2 7e 5a 28 22 91 d1 6c da 7e 9b 1b 27   |.n.~Z("..l.~..'
03a0  f4 23 f1 14 db bd c8 aa 6f 61 61 9e 8c 20 2f 13   .#......oaa.. /.
03b0  3d a9 41 2d 24 50 34 5c 15 c7 33 0a b9 f3 dc 7b   =.A-$P4\..3....{
03c0  74 6a b7 1e 50 80 32 d0 70 3d 8d 2c d1 b8 59 4e   tj..P.2.p=.,..YN
03d0  af ab 64 46 06 db 54 3c ad b5 12 63 0f 81 8c 4d   ..dF..T

No.     Time        Source                Destination           Protocol Info
      4 8746.615732 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 53563 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=2519318501 TSER=3478199

Frame 4 (1514 bytes on wire, 1514 bytes captured)
    Arrival Time: Jan  9, 2009 18:27:59.824883000
    [Time delta from previous captured frame: 119.939459000 seconds]
    [Time delta from previous displayed frame: 119.939459000 seconds]
    [Time since reference or first frame: 8746.615732000 seconds]
    Frame Number: 4
    Frame Length: 1514 bytes
    Capture Length: 1514 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:tcp[:D]ata]
    [Coloring Rule Name: Bad TCP]
    [Coloring Rule String: tcp.analysis.flags]
Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
    Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 1500
    Identification: 0xa1f1 (41457)
    Flags: 0x04 (Don't Fragment)
        0... = Reserved bit: Not set
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 49
    Protocol: TCP (0x06)
    Header checksum: 0xcf5d [correct]
        [Good: True]
        [Bad : False]
    Source: 128.121.10.114 (128.121.10.114)
    Destination: 24.243.46.239 (24.243.46.239)
Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1, Ack: 1, Len: 1448
    Source port: autodesk-nlm (2080)
    Destination port: 53563 (53563)
    Sequence number: 1    (relative sequence number)
    [Next sequence number: 1449    (relative sequence number)]
    Acknowledgement number: 1    (relative ack number)
    Header length: 32 bytes
    Flags: 0x10 (ACK)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...1 .... = Acknowledgment: Set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..0. = Syn: Not set
        .... ...0 = Fin: Not set
    Window size: 6432
    Checksum: 0xb318 [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
    Options: (12 bytes)
        NOP
        NOP
        Timestamps: TSval 2519318501, TSecr 3478199
    [SEQ/ACK analysis]
        [TCP Analysis Flags]
            [This frame is a (suspected) retransmission]
            [The RTO for this segment was: 119.939459000 seconds]
            [RTO based on delta from frame: 3]
Data (1448 bytes)
    Data: 485454502F312E3120323030204F4B0D0A436F6E6E656374...

0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
0010  05 dc a1 f1 40 00 31 06 cf 5d 80 79 0a 72 18 f3   ....@.1..].y.r..
0020  2e ef 08 20 d1 3b 3c 21 36 56 fc f1 fa f2 80 10   ... .;V
0300  7b e1 88 8f 04 e1 19 ef 3d 56 66 78 37 de 41 e9   {.......=Vfx7.A.
0310  d3 9d b7 2e ed 8b 0c 92 04 85 9d f5 e3 0c 82 9d   ................
0320  ff 0a 33 1a 1b c8 07 3b 0b 38 91 2a b3 d8 19 13   ..3....;.8.*....
0330  ca 17 3b ff f5 b3 2f 16 91 b7 f3 8f af be 07 20   ..;.../........ 
0340  5f bf a3 0d 99 7e 52 b6 47 8b 24 63 ce 5f 1f 26   _....~R.G.$c._.&
0350  2e eb 08 86 e4 03 7f 8d 8c bf 7d fb a8 75 b5 0e   ..........}..u..
0360  7f 61 d5 01 28 4d 2c c6 bc 6f 9f da 0f 60 1e ab   .a..(M,..o...`..
0370  19 df e4 5f 7e d3 bb ae df 5f 1e f1 be d3 44 7a   ..._~...._....Dz
0380  45 07 8f 99 a2 3e 74 f2 65 a8 e0 dc 62 63 a6 8b   E....>t.e...bc..
0390  f9 0d 8e ec 7b 69 b7 8d 8e ee 6f d6 bd 45 67 8f   ....{i....o..Eg.
03a0  b3 81 66 ba 09 2c f7 7c c4 16 8f 39 a3 98 9e 3d   ..f..,.|...9...=
03b0  a2 22 a6 ba 7b 0d 61 8f f9 a6 b2 bb 0d 8f 79 71   ."..{.a.......yq
03c0  59 9d 09 0c be dc 63 b8 a6 bb 7b 19 cf 7d f2 be   Y.....c...{..}..
03d0  eb b3 f6 9c 7d 85 89 bf 9a fb b6 4d 11 bf 4b ee   ....}......M..K.
03e0  e6 ea ea cc 32 45 f8 45 6f ed 71 68 73 bd 89 66   ....2E.Eo.qhs..f
03f0  f3 77 af 78 83 70 db 63 73 66 bb 7d 19 a3 3b 56   .w.x.p.csf.}..;V
0400  4f 78 45 2f ef a5 25 8e 99 b2 8c 9a ee 31 4d 3e   OxE/..%......1M>
0410  b7 41 4d dc 5b 06 ba bd bf d0 d3 bd b5 b3 bd 47   .AM.[..........G
0420  be a7 91 11 7f 5e aa f1 20 a7 38 c1 3f b2 b7 6e   .....^.. .8.?..n
0430  33 25 7a c5 1e 8f 18 a7 9e bc f1 51 8f 7b 04 ee   3%z........Q.{..
0440  71 c1 32 bd 7f 2d cf a2 b9 de 95 d3 2c f8 85 53   q.2..-......,..S
0450  8f ba bf a2 ce 67 d2 dc ab 58 ef cd 67 78 d1 d3   .....g...X..gx..
0460  54 7c 15 4e dd 57 56 ba 15 6e dd 63 7c 7e b0 c0   T|.N.WV..n.c|~..
0470  73 eb 85 d3 7c 57 ef fd e8 67 bb 4b 1e b1 93 d3   s...|W...g.K....
0480  35 7a 45 6f 8f 58 bd 18 ba 3d a2 1a 66 ba e9 19   5zEo.X...=..f...
0490  9b 3f a2 7e 54 1e 19 9f 3e bb 07 fe d4 5d ef 7e   .?.~T...>....].~
04a0  23 af 65 6c e0 6b e9 fe a9 6f 61 6d e0 f8 9e dc   #.el.k...oam....
04b0  38 80 46 7c ef 06 f8 2c 8b d9 95 db 46 88 8f 8d   8.F|...,....F...
04c0  8f 0b 6c fc 3a 82 37 ff 1c 75 d2 3a e5 b9 3a e9   ..l.:.7..u.:..:.
04d0  db 59 d2 00 83 51 94 d8 03 22 56 ca eb 53 c6 d3   .Y...Q..."V..S..
04e0  c7 77 72 66 64 6b 7b 56 66 62 7a 72 56 64 63 7f   .wrfdk{VfbzrVdc.
04f0  74 30 19 7e 58 4e fa 67 a6 3e 2d 13 84 0d 84 14   t0.~XN.g.>-.....
0500  89 0b 85 02 3b 5f 89 84 8c 1c 88 23 3e 1b bb 8e   ....;_.....#>...
0510  f6 09 74 b1 34 b2 72 f0 d2 85 fd a3 d4 14 65 c0   ..t.4.r.......e.
0520  c9 7e b7 ff 2b 09 07 13 32 62 6a 7d 7d e3 e3 e0   .~..+...2bj}}...
0530  28 a5 a3 0e 50 9e c8 70 33 f8 e9 ae 59 e4 9c af   (...P..p3...Y...
0540  b7 3b af 35 c0 c4 cc 9c c7 04 00 60 7a 01 64 ab   .;.5.......`z.d.

No.     Time        Source                Destination           Protocol Info
      5 8866.603266 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 53563 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=2519438501 TSER=3478199

Frame 5 (1514 bytes on wire, 1514 bytes captured)
    Arrival Time: Jan  9, 2009 18:29:59.812417000
    [Time delta from previous captured frame: 119.987534000 seconds]
    [Time delta from previous displayed frame: 119.987534000 seconds]
    [Time since reference or first frame: 8866.603266000 seconds]
    Frame Number: 5
    Frame Length: 1514 bytes
    Capture Length: 1514 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:tcp[:D]ata]
    [Coloring Rule Name: Bad TCP]
    [Coloring Rule String: tcp.analysis.flags]
Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
    Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 1500
    Identification: 0xa1f3 (41459)
    Flags: 0x04 (Don't Fragment)
        0... = Reserved bit: Not set
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 49
    Protocol: TCP (0x06)
    Header checksum: 0xcf5b [correct]
        [Good: True]
        [Bad : False]
    Source: 128.121.10.114 (128.121.10.114)
    Destination: 24.243.46.239 (24.243.46.239)
Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1, Ack: 1, Len: 1448
    Source port: autodesk-nlm (2080)
    Destination port: 53563 (53563)
    Sequence number: 1    (relative sequence number)
    [Next sequence number: 1449    (relative sequence number)]
    Acknowledgement number: 1    (relative ack number)
    Header length: 32 bytes
    Flags: 0x10 (ACK)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...1 .... = Acknowledgment: Set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..0. = Syn: Not set
        .... ...0 = Fin: Not set
    Window size: 6432
    Checksum: 0xde56 [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
    Options: (12 bytes)
        NOP
        NOP
        Timestamps: TSval 2519438501, TSecr 3478199
    [SEQ/ACK analysis]
        [TCP Analysis Flags]
            [This frame is a (suspected) retransmission]
            [The RTO for this segment was: 239.926993000 seconds]
            [RTO based on delta from frame: 3]
Data (1448 bytes)
    Data: 485454502F312E3120323030204F4B0D0A436F6E6E656374...

0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
0010  05 dc a1 f3 40 00 31 06 cf 5b 80 79 0a 72 18 f3   ....@.1..[.y.r..
0020  2e ef 08 20 d1 3b 3c 21 36 56 fc f1 fa f2 80 10   ... .;V
0300  7b e1 88 8f 04 e1 19 ef 3d 56 66 78 37 de 41 e9   {.......=Vfx7.A.
0310  d3 9d b7 2e ed 8b 0c 92 04 85 9d f5 e3 0c 82 9d   ................
0320  ff 0a 33 1a 1b c8 07 3b 0b 38 91 2a b3 d8 19 13   ..3....;.8.*....
0330  ca 17 3b ff f5 b3 2f 16 91 b7 f3 8f af be 07 20   ..;.../........ 
0340  5f bf a3 0d 99 7e 52 b6 47 8b 24 63 ce 5f 1f 26   _....~R.G.$c._.&
0350  2e eb 08 86 e4 03 7f 8d 8c bf 7d fb a8 75 b5 0e   ..........}..u..
0360  7f 61 d5 01 28 4d 2c c6 bc 6f 9f da 0f 60 1e ab   .a..(M,..o...`..
0370  19 df e4 5f 7e d3 bb ae df 5f 1e f1 be d3 44 7a   ..._~...._....Dz
0380  45 07 8f 99 a2 3e 74 f2 65 a8 e0 dc 62 63 a6 8b   E....>t.e...bc..
0390  f9 0d 8e ec 7b 69 b7 8d 8e ee 6f d6 bd 45 67 8f   ....{i....o..Eg.
03a0  b3 81 66 ba 09 2c f7 7c c4 16 8f 39 a3 98 9e 3d   ..f..,.|...9...=
03b0  a2 22 a6 ba 7b 0d 61 8f f9 a6 b2 bb 0d 8f 79 71   ."..{.a.......yq
03c0  59 9d 09 0c be dc 63 b8 a6 bb 7b 19 cf 7d f2 be   Y.....c...{..}..
03d0  eb b3 f6 9c 7d 85 89 bf 9a fb b6 4d 11 bf 4b ee   ....}......M..K.
03e0  e6 ea ea cc 32 45 f8 45 6f ed 71 68 73 bd 89 66   ....2E.Eo.qhs..f
03f0  f3 77 af 78 83 70 db 63 73 66 bb 7d 19 a3 3b 56   .w.x.p.csf.}..;V
0400  4f 78 45 2f ef a5 25 8e 99 b2 8c 9a ee 31 4d 3e   OxE/..%......1M>
0410  b7 41 4d dc 5b 06 ba bd bf d0 d3 bd b5 b3 bd 47   .AM.[..........G
0420  be a7 91 11 7f 5e aa f1 20 a7 38 c1 3f b2 b7 6e   .....^.. .8.?..n
0430  33 25 7a c5 1e 8f 18 a7 9e bc f1 51 8f 7b 04 ee   3%z........Q.{..
0440  71 c1 32 bd 7f 2d cf a2 b9 de 95 d3 2c f8 85 53   q.2..-......,..S
0450  8f ba bf a2 ce 67 d2 dc ab 58 ef cd 67 78 d1 d3   .....g...X..gx..
0460  54 7c 15 4e dd 57 56 ba 15 6e dd 63 7c 7e b0 c0   T|.N.WV..n.c|~..
0470  73 eb 85 d3 7c 57 ef fd e8 67 bb 4b 1e b1 93 d3   s...|W...g.K....
0480  35 7a 45 6f 8f 58 bd 18 ba 3d a2 1a 66 ba e9 19   5zEo.X...=..f...
0490  9b 3f a2 7e 54 1e 19 9f 3e bb 07 fe d4 5d ef 7e   .?.~T...>....].~
04a0  23 af 65 6c e0 6b e9 fe a9 6f 61 6d e0 f8 9e dc   #.el.k...oam....
04b0  38 80 46 7c ef 06 f8 2c 8b d9 95 db 46 88 8f 8d   8.F|...,....F...
04c0  8f 0b 6c fc 3a 82 37 ff 1c 75 d2 3a e5 b9 3a e9   ..l.:.7..u.:..:.
04d0  db 59 d2 00 83 51 94 d8 03 22 56 ca eb 53 c6 d3   .Y...Q..."V..S..
04e0  c7 77 72 66 64 6b 7b 56 66 62 7a 72 56 64 63 7f   .wrfdk{VfbzrVdc.
04f0  74 30 19 7e 58 4e fa 67 a6 3e 2d 13 84 0d 84 14   t0.~XN.g.>-.....
0500  89 0b 85 02 3b 5f 89 84 8c 1c 88 23 3e 1b bb 8e   ....;_.....#>...
0510  f6 09 74 b1 34 b2 72 f0 d2 85 fd a3 d4 14 65 c0   ..t.4.r.......e.
0520  c9 7e b7 ff 2b 09 07 13 32 62 6a 7d 7d e3 e3 e0   .~..+...2bj}}...
0530  28 a5 a3 0e 50 9e c8 70 33 f8 e9 ae 59 e4 9c af   (...P..p3...Y...
0540  b7 3b af 35 c0 c4 cc 9c c7 04 00 60 7a 01 64 ab   .;.5.......`z.d.

No.     Time        Source                Destination           Protocol Info
      6 8986.578320 128.121.10.114        24.243.46.239         TCP      [TCP Retransmission] autodesk-nlm > 53563 [ACK] Seq=1 Ack=1 Win=6432 Len=1448 TSV=2519558501 TSER=3478199

Frame 6 (1514 bytes on wire, 1514 bytes captured)
    Arrival Time: Jan  9, 2009 18:31:59.787471000
    [Time delta from previous captured frame: 119.975054000 seconds]
    [Time delta from previous displayed frame: 119.975054000 seconds]
    [Time since reference or first frame: 8986.578320000 seconds]
    Frame Number: 6
    Frame Length: 1514 bytes
    Capture Length: 1514 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:tcp[:D]ata]
    [Coloring Rule Name: Bad TCP]
    [Coloring Rule String: tcp.analysis.flags]
Ethernet II, Src: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05), Dst: 3com_ce:ee:01 (00:50:04:ce:ee:01)
    Destination: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        Address: 3com_ce:ee:01 (00:50:04:ce:ee:01)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        Address: Cisco_29[:D]f:05 (00:15:f9:29[:D]f:05)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 128.121.10.114 (128.121.10.114), Dst: 24.243.46.239 (24.243.46.239)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 1500
    Identification: 0xa1f5 (41461)
    Flags: 0x04 (Don't Fragment)
        0... = Reserved bit: Not set
        .1.. = Don't fragment: Set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 49
    Protocol: TCP (0x06)
    Header checksum: 0xcf59 [correct]
        [Good: True]
        [Bad : False]
    Source: 128.121.10.114 (128.121.10.114)
    Destination: 24.243.46.239 (24.243.46.239)
Transmission Control Protocol, Src Port: autodesk-nlm (2080), Dst Port: 53563 (53563), Seq: 1, Ack: 1, Len: 1448
    Source port: autodesk-nlm (2080)
    Destination port: 53563 (53563)
    Sequence number: 1    (relative sequence number)
    [Next sequence number: 1449    (relative sequence number)]
    Acknowledgement number: 1    (relative ack number)
    Header length: 32 bytes
    Flags: 0x10 (ACK)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...1 .... = Acknowledgment: Set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..0. = Syn: Not set
        .... ...0 = Fin: Not set
    Window size: 6432
    Checksum: 0x0995 [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
    Options: (12 bytes)
        NOP
        NOP
        Timestamps: TSval 2519558501, TSecr 3478199
    [SEQ/ACK analysis]
        [TCP Analysis Flags]
            [This frame is a (suspected) retransmission]
            [The RTO for this segment was: 359.902047000 seconds]
            [RTO based on delta from frame: 3]
Data (1448 bytes)
    Data: 485454502F312E3120323030204F4B0D0A436F6E6E656374...

0000  00 50 04 ce ee 01 00 15 f9 29 df 05 08 00 45 00   .P.......)....E.
0010  05 dc a1 f5 40 00 31 06 cf 59 80 79 0a 72 18 f3   ....@.1..Y.y.r..
0020  2e ef 08 20 d1 3b 3c 21 36 56 fc f1 fa f2 80 10   ... .;V
0300  7b e1 88 8f 04 e1 19 ef 3d 56 66 78 37 de 41 e9   {.......=Vfx7.A.
0310  d3 9d b7 2e ed 8b 0c 92 04 85 9d f5 e3 0c 82 9d   ................
0320  ff 0a 33 1a 1b c8 07 3b 0b 38 91 2a b3 d8 19 13   ..3....;.8.*....
0330  ca 17 3b ff f5 b3 2f 16 91 b7 f3 8f af be 07 20   ..;.../........ 
0340  5f bf a3 0d 99 7e 52 b6 47 8b 24 63 ce 5f 1f 26   _....~R.G.$c._.&
0350  2e eb 08 86 e4 03 7f 8d 8c bf 7d fb a8 75 b5 0e   ..........}..u..
0360  7f 61 d5 01 28 4d 2c c6 bc 6f 9f da 0f 60 1e ab   .a..(M,..o...`..
0370  19 df e4 5f 7e d3 bb ae df 5f 1e f1 be d3 44 7a   ..._~...._....Dz
0380  45 07 8f 99 a2 3e 74 f2 65 a8 e0 dc 62 63 a6 8b   E....>t.e...bc..
0390  f9 0d 8e ec 7b 69 b7 8d 8e ee 6f d6 bd 45 67 8f   ....{i....o..Eg.
03a0  b3 81 66 ba 09 2c f7 7c c4 16 8f 39 a3 98 9e 3d   ..f..,.|...9...=
03b0  a2 22 a6 ba 7b 0d 61 8f f9 a6 b2 bb 0d 8f 79 71   ."..{.a.......yq
03c0  59 9d 09 0c be dc 63 b8 a6 bb 7b 19 cf 7d f2 be   Y.....c...{..}..
03d0  eb b3 f6 9c 7d 85 89 bf 9a fb b6 4d 11 bf 4b ee   ....}......M..K.
03e0  e6 ea ea cc 32 45 f8 45 6f ed 71 68 73 bd 89 66   ....2E.Eo.qhs..f
03f0  f3 77 af 78 83 70 db 63 73 66 bb 7d 19 a3 3b 56   .w.x.p.csf.}..;V
0400  4f 78 45 2f ef a5 25 8e 99 b2 8c 9a ee 31 4d 3e   OxE/..%......1M>
0410  b7 41 4d dc 5b 06 ba bd bf d0 d3 bd b5 b3 bd 47   .AM.[..........G
0420  be a7 91 11 7f 5e aa f1 20 a7 38 c1 3f b2 b7 6e   .....^.. .8.?..n
0430  33 25 7a c5 1e 8f 18 a7 9e bc f1 51 8f 7b 04 ee   3%z........Q.{..
0440  71 c1 32 bd 7f 2d cf a2 b9 de 95 d3 2c f8 85 53   q.2..-......,..S
0450  8f ba bf a2 ce 67 d2 dc ab 58 ef cd 67 78 d1 d3   .....g...X..gx..
0460  54 7c 15 4e dd 57 56 ba 15 6e dd 63 7c 7e b0 c0   T|.N.WV..n.c|~..
0470  73 eb 85 d3 7c 57 ef fd e8 67 bb 4b 1e b1 93 d3   s...|W...g.K....
0480  35 7a 45 6f 8f 58 bd 18 ba 3d a2 1a 66 ba e9 19   5zEo.X...=..f...
0490  9b 3f a2 7e 54 1e 19 9f 3e bb 07 fe d4 5d ef 7e   .?.~T...>....].~
04a0  23 af 65 6c e0 6b e9 fe a9 6f 61 6d e0 f8 9e dc   #.el.k...oam....
04b0  38 80 46 7c ef 06 f8 2c 8b d9 95 db 46 88 8f 8d   8.F|...,....F...
04c0  8f 0b 6c fc 3a 82 37 ff 1c 75 d2 3a e5 b9 3a e9   ..l.:.7..u.:..:.
04d0  db 59 d2 00 83 51 94 d8 03 22 56 ca eb 53 c6 d3   .Y...Q..."V..S..
04e0  c7 77 72 66 64 6b 7b 56 66 62 7a 72 56 64 63 7f   .wrfdk{VfbzrVdc.
04f0  74 30 19 7e 58 4e fa 67 a6 3e 2d 13 84 0d 84 14   t0.~XN.g.>-.....
0500  89 0b 85 02 3b 5f 89 84 8c 1c 88 23 3e 1b bb 8e   ....;_.....#>...
0510  f6 09 74 b1 34 b2 72 f0 d2 85 fd a3 d4 14 65 c0   ..t.4.r.......e.
0520  c9 7e b7 ff 2b 09 07 13 32 62 6a 7d 7d e3 e3 e0   .~..+...2bj}}...
0530  28 a5 a3 0e 50 9e c8 70 33 f8 e9 ae 59 e4 9c af   (...P..p3...Y...
0540  b7 3b af 35 c0 c4 cc 9c c7 04 00 60 7a 01 64 ab   .;.5.......`z.d.

You can't spoof TCP sessions (although SYN's and RST's can be spoofed).

BTW, the subject was "Unknown OUTBOUND traffic"... what makes you think it's outbound?

Barry

Previous lack of response from the forum and understanding from myself.
The traffic appeared to be from up2date server ranges.
But when I captured the packets there was no outbound to the same IP. The packets were as I posted.

Can you explain what they were trying to accomplish from the packets that I posted?
I had to truncate the last few line of the Hex on each packet.

Hmm... something's definitely making a full connection.

Where are you sniffing? on the firewall, or in the LAN, or outside the firewall?

Are either of these IPs in your LAN/DMZ?
128.121.10.114 
24.243.46.239 

If not, AND if you're sniffing your internet connection, then your ISP may have your router (or modem) misconfigured, letting you see other customer's connections.

Barry

Hm, maybe I can sched some light on this, at least part of it.

In our up2date infrastructure, the actual up2date servers are shielded by ASGs. The up2date server which is located in Sterling, USA (v7up2date5.astaro.com, 128.121.10.115) is behind an ASG (128.121.10.114) which has the official IP address of the up2date server as an alias and uses DNAT to forward the requests to the up2date server. Because of the server configuration, the server is listening on port 2080 (instead of 80) for up2date download requests, so the ASG uses DNAT for 128.121.10.115:80 -> internal.ip.of.the.up2date.server:2080 .

What you are seeing there is the end of an up2date download, originating from our up2date server in Sterling. The strange thing is that the connection originating from 2080 should never go outside of the internal network, as it should be translated back to the 'official' source ip (alias on the ASG) as well as the official source port (80) of the download. For those packets that you are seeing, the ASG seems to route them instead of DNATing them back.

So, on the positive side - those packets are no attacks, and no probing attempts. My personal assumption is that the linux network stack is having hickups there, probably in high load situations.

Cheers,
 Andreas

Thank you.

I was hoping that it was something like that and not rouge Astaro folks snooping. If the NSA can abuse their power and post your and my most intimate momnets on a big screen for their buddies to see anyone can abuse their access. I am glad that is not the case.

Here is my orgininal question:

http://www.astaro.org/astaro-gateway-products/management-networking-logging-reporting/21301-unknown-outbound-traffic.html

Lets try this again...

I am curious about the traffic from IP addresses:
128.242.114.242 (rdns mail2.after.college.com) at NTT America.
218.213.238.228 (no rdns) at HKNET-Hong Kong.
213.198.65.27 (rdns euu0300091-pip.eu.verio.net) NTT/Verio Europe.
69.10.147.66 (rdns unknown.rackforce.com) at RackForce Hosting.

Specifically regarding src port 2080.

src port is always 2080
dst port varies (30000-59999)
all traffic is tcp
The only proxys involved are on/in the ASG box. If any other proxies outside my modem exist I would like to know.

Since from what I have observed, up2date appears to use only ports 443 and 80. Because of this belief, the traffic described herein appears odd to me. 

Does up2date also require port 2080 to function correctly or close a connection? The packet data captured in front of the ASG indicates that the connection is trying to close and is retransmitting. These retransmissions are what the ASG's packet capture feature is logging. I do not know what the standard is for making sure a port is closed, but since the traffic is tcp and not udp I do not believe that 24 packets are required to close a connection. Which is what the ASG logged this morning from 09:38 to 10:00 GMT from IP 128.242.114.242 to two different dst ports (48775 and 37739). Am I wrong about anything I have stated?

Note: I have port 2080 blocked in the packet filter rules (along with many other ports). 

This traffic causes me some anxiety since I do not know the purpose of the traffic's original cause.

Will someone please explain this traffic?

Note: All my log data is sent to both Mynetwatchman and Dshield.

out.

Unanswered Questions:

1) Am I correct about up2date only using port 443 and 80.

2) Shoud I include port 2080 in my packetfilter rule for the up2date servers? Or do I leave the port blocked (two separate rules)? You did say that port 2080 should never have been seen at all? Yes, I think that is what you said (internal network only). Did you say that? So, I gues I should leave it blocked, right?

Previously, I was asked if I used a proxy. The only proxy of which I know is the CMTS of my ISP. (and now Astaro's) I have had my suspicions since when my LAN was on a 10/8 net and so is their CMTS I had some major problems with unauthorized access. Just a hop across a router I thought...But that is another story. I now own the modem as well.

3) Could a proxy cause a delay? Or has the actual problem been identified as problems with the Astaro proxy's SNAT... (not DNAT???)... since I received the "ACK"?

If you would like, I can go all the way back to Jan 2008 and tell you all of the servers that have sent out the proxy port 2080 and the dates and times they did it. This is not an isolated incident it happens daily. I should have pursued this back on March 25th of 2008 when I first posted. I had my hands full then, sorry. My initial inclination says that having the proxy port on the internet is a bad thing. Is it? Does the ASG do it too?

Thanks again for your time.

Jim

1) Am I correct about up2date only using port 443 and 80. 

Yes. 443 is used for authentication, 80 is used for download.

2) Shoud I include port 2080 in my packetfilter rule for the up2date servers? Or do I leave the port blocked (two separate rules)? You did say that port 2080 should never have been seen at all? Yes, I think that is what you said (internal network only). Did you say that? So, I gues I should leave it blocked, right?

You don't need to unblock port 2080. The fact that you are seeing packets coming from that port is a malfunction on our side. TCP check/retransmission mechanisms will take care of this, so you don't need to do anything.

3) Could a proxy cause a delay? Or has the actual problem been identified as problems with the Astaro proxy's SNAT... (not DNAT???)... since I received the "ACK"?

First of all, we don't use the proxy functionality on the ASGs that shield the up2date servers. The ASGs are using DNAT to rewrite the destination of the initial connection. The source address in the reply packets for this connection is automatically rewritten by the netfilter. And yes, having a proxy port open to the internet is not a good idea. The ASG will not do this unless you configure it explicitly to do so.

Cheers,
 andreas