Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 2 subscribers
  • Views 9095 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.002][bug]P2P/IM Top Clients

Josh1
When I look at my executive report, I am seeing as top protocol P2P client ares with 6 connections.  And the client IP is that of our DNS server.  Does that mean a P2Pprogram is passing through that DNS address or does that mean there is a P2P program installed on the machine?  I check for any instances of it on the server, and there is none to be found.  Or is the P2P traffic simply passing through our DNS server?  How do we find the exact transmission of the source?


This thread was automatically locked due to age.
Parents
  • 0
    Hi All

    on my executive report today I've noticed that on my top 10 P2P networks, I had connection from gnutella. However, I am not using any p2p protocl at the moment. Please see image attached

    Thanks
  • 0 in reply to wingman
    got it.According to the live logs it skype traffic

    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    79.103.129.110 : 49761
    len=136 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    79.103.131.20 : 39489
    len=136 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    82.38.178.116 : 6295
    len=143 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    174.44.190.185 : 10946
    len=61 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    178.162.10.70 : 31164
    len=60 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    70.30.97.151 : 32827
    len=155 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    213.5.163.158 : 44269
    len=157 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d

    The skype uses that port for incoming connections.It also uses 80,443 for incoming connections and has UPNP enabled.Proxy is set to automatic. I have no specific pf rules in place for skype traffic. I can see the firewall blocks

    20:17:07 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:07 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:09 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:09 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:13 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:13 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f

    i have to set the correct NAT and pf

    correct?
Reply
  • 0 in reply to wingman
    got it.According to the live logs it skype traffic

    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    79.103.129.110 : 49761
    len=136 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    79.103.131.20 : 39489
    len=136 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    82.38.178.116 : 6295
    len=143 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    174.44.190.185 : 10946
    len=61 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    178.162.10.70 : 31164
    len=60 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    70.30.97.151 : 32827
    len=155 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    213.5.163.158 : 44269
    len=157 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d

    The skype uses that port for incoming connections.It also uses 80,443 for incoming connections and has UPNP enabled.Proxy is set to automatic. I have no specific pf rules in place for skype traffic. I can see the firewall blocks

    20:17:07 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:07 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:09 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:09 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:13 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:13 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f

    i have to set the correct NAT and pf

    correct?
Children
No Data