Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 923 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Persistent Scans

skydiver
So I have been getting port scanned now for over a week from the same IP address somewhere in China
Source IP address: 125.45.109.166 (hn.kd.ny.adsl)

I called our ISP (Timewarner) to see if they can block it higher up in the food chain but they won't.

Any suggestions other than ignore these alerts?  I setup a specific drop rule for this IP address in the packet filter but since we are an American Asian Cuisine Restaurant Chain I worry that this could be a targeted probe.


This thread was automatically locked due to age.
  • 0
    It's likely not a targeted probe; I've seen hits from that IP, on and off, for years at my various customer sites.  What is annoying is that there is currently no way to prevent the alerts, creating packet filter blocks, even blackhole NATs, for these sorts of scanners has not effect, still get tons of notifications.  Just add a block rule for it and worry about it no-more.  The portscan detection, unfortunately (or fortunately, depending on your point of view) gets first dibs at looking at traffic, so even though you can define a packet filter rule that specifically blocks all traffic from one of these hosts, the portscan detection still "trips."
  • 0
    That's what I thought.  I knew the portscan was hitting IPS before the packet filter.  I have seen packet probes a lot but this is one persistent bugger.  The good thing is that it is catching it and that the source hasn't adjusted the frequency to stay under the radar.  I have all my endpoints currently set to no inbound traffic from random IP addresses except for SSL VPN traffic, so I am not really worried from that standpoint. I just worry that if it is a targeted probe, that these could be followed up with emails that then get them into the network.  Because there is a dns entry for the inbound targeted IP address for the VPN connection, getting email to our users would be trivial.
  • 0
    At least, you can prevent entry and stop logging the drops by creating a packet filter rule using the interface address object: '{125.45.109.166} -> Any -> External (Address) : Drop'.

    You should send a complaint with the relavant log lines to abuse@chinaunicom.cn & abuse@public.zz.ha.cn

    Cheers - Bob