Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 2 subscribers
  • Views 9082 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.002][bug]P2P/IM Top Clients

Josh1
When I look at my executive report, I am seeing as top protocol P2P client ares with 6 connections.  And the client IP is that of our DNS server.  Does that mean a P2Pprogram is passing through that DNS address or does that mean there is a P2P program installed on the machine?  I check for any instances of it on the server, and there is none to be found.  Or is the P2P traffic simply passing through our DNS server?  How do we find the exact transmission of the source?


This thread was automatically locked due to age.
  • 0 in reply to wingman
    I have the tunnel broker enable but I am not running ipv6.I have IDS enabled.Please find the relevant log attached
    logfiles_20100627192318.zip
  • 0 in reply to wingman
    Looking at those logfiles: do you have any idea what those massive traffic from port 29998/udp could be?
  • 0 in reply to wingman
    i think from the logs ,I can see the ipv6 p2p entries
  • 0 in reply to wingman
    eh, no. For one that's tcp (and the afcd.log contains udp entries) and second we have ipv4 in the afcd.logs, not ipv6.

    So once again: do you have any idea what those traffic could have been?
  • 0 in reply to wingman
    got it.According to the live logs it skype traffic

    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    79.103.129.110 : 49761
    len=136 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    79.103.131.20 : 39489
    len=136 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    82.38.178.116 : 6295
    len=143 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    174.44.190.185 : 10946
    len=61 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    178.162.10.70 : 31164
    len=60 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    70.30.97.151 : 32827
    len=155 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d
    20:14:24 IM Rule: Skype UDP
    192.168.2.10 : 29998

    213.5.163.158 : 44269
    len=157 ttl=127 tos=0x00 srcmac=0:0:fa:1a:65:9d

    The skype uses that port for incoming connections.It also uses 80,443 for incoming connections and has UPNP enabled.Proxy is set to automatic. I have no specific pf rules in place for skype traffic. I can see the firewall blocks

    20:17:07 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:07 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:09 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:09 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:13 Default DROP UDP
    192.168.2.10 : 29998

    62.1.64.103 : 4358
    len=136 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f
    20:17:13 Default DROP UDP
    192.168.2.10 : 29998

    62.1.62.139 : 4358
    len=133 ttl=127 tos=0x00 srcmac=0:21:5d:ba:4a:f8 dstmac=0:b0:c2:2:e4:4f

    i have to set the correct NAT and pf

    correct?
  • 0 in reply to wingman
    This looks promising. Do you see any skype-related things in the executive report?
  • 0 in reply to wingman
    yes. Skype is the first on my top IM list. Is it possible that astaro gets confused because of the variety of ports that skype is trying to connect to and things it's a p2p traffic?
  • 0 in reply to wingman
    Can you then post a screenshot of the Skype part in the Executive Report too, please?
  • 0 in reply to wingman
    I've attached the executive report from the 27th of June
  • 0 in reply to wingman
    Hi,
     the part that puzzled me is that I have that "protocol" blocked, yet still shows connections.

    Ian M