Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1692 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SYN / RST confusing scanners?

BarryG
Hi, looking at my Packet Filter Livelog in 1.9, today there are a lot of hits on port 119 (news).

It turns out they are from my ISP's security scanner ( authorized-scan1.security.home.net ); apparently @home has started scanning customers.

Anyways, I'm not running a news server.

What I'm wondering is Why are there so many of these. Each one shows a SYN and a RST.
I believe that I read this is how ASL handles probes, but in PSD, I have it set to DROP/Blackhole.

ISTM that the scanner is getting confused and keeps retrying because of the RST's, and ISTM that DROP would be better.
Also, these hits are NOT showing up in the PSD logs.

Am I making sense?

BTW, the only rule I have for NEWS is to allow DMZ -> any NEWS,
but that is currently not "Aktivated", and if that is affecting this, ISTM that something is wrong as that is for the DMZ outgoing, and shouldn't affect incoming packets.

Thank you,
Barry

09:29:35 24.0.0.203 44026->24.5.13.x 119 TCP SYN
09:29:36 24.0.0.203 44026->24.5.13.x 119 TCP RST
09:29:36 24.0.0.203 44518->24.5.13.x 119 TCP SYN
09:29:37 24.0.0.203 44518->24.5.13.x 119 TCP RST
...

[ 30 July 2001: Message edited by: barrygould ]


This thread was automatically locked due to age.
  • 0
    I have encountered the same.  After doing some research, I found the reason why they scan their network:
    Keep pirate software news servers off their network.  They heavily filter their newsgroup access, and that is another way they are trying to limit use of their services.

    I wonder when they will start scanning port 80 and 21.

    Ryan
  • 0 in reply to ryan bloch
    hi barry,

    PSD and the exclusion of networks do not work correctly work in the beta versions. Gert has fixed it for the final.

    /tom
  • 0 in reply to tom_01
    Ryan,
    after talking with @home it wont be long before (if not already) they filter ALL inbound http and arp requests for home users because of the massive amounts of broadcast storms generated from this CodeRedII fiasco.
     timewarner is going to do the same thing also 
    Sorry

    [ 09 August 2001: Message edited by: Jake S ]
Unfiltered HTML