Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2104 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscanning myself????

martindw
I have just gotten two warnings from my ASL 4.0 box (which has been up for 19 days on this install) that my PDC, an NT4 box which is also my internal DNS, is portscanning other machines on my system.  This seems a little funky to me.  One alleged scan was from an address on subnet 1 across my VPN to subnet 2, and shows in the log as follows:

Apr 15 15:08:57 (none) kernel: Portscan detected: IN=eth0 OUT=ipsec0 SRC=192.168.X.X DST=192.168.Y.Y LEN=171 

TOS=0x00 PREC=0x00 TTL=127 ID=6336 PROTO=UDP SPT=53 DPT=1704 LEN=151 
Apr 15 15:08:58 (none) kernel: Portscan 

detected: IN=eth0 OUT=ipsec0 SRC=192.168.X.X DST=192.168.Y.Y LEN=129 TOS=0x00 PREC=0x00 TTL=127 ID=7360 PROTO=UDP 

SPT=53 DPT=1707 LEN=109 
Apr 15 15:08:58 (none) kernel: Portscan detected: IN=eth0 OUT=ipsec0 SRC=192.168.X.X 

DST=192.168.Y.Y LEN=171 TOS=0x00 PREC=0x00 TTL=127 ID=8384 PROTO=UDP SPT=53 DPT=1704 LEN=151 
Apr 15 15:08:59 (none) 

kernel: Portscan detected: IN=eth0 OUT=ipsec0 SRC=192.168.X.X DST=192.168.Y.Y LEN=83 TOS=0x00 PREC=0x00 TTL=127 

ID=8640 PROTO=UDP SPT=53 DPT=1707 LEN=63

For the time being I have gone into PSD setup and excluded detection on my own internal network, which should take care of the problem; however, this has never happened before and no configuration changes/software installs/other modifications have been made to either the ASL box or the NT Server in quite some time, so why now?

Dan  


This thread was automatically locked due to age.
Parents
  • 0
    Does your internal DNS server have any forwarders set up? Is it the primary site? Does it have secondaries?
    What server is it trying to contact on the far end? 
  • 0 in reply to Sgt_B
    No forwarders; it was trying to reach an IP that belongs to one of my user workstations on the remote subnet of my VPN--that workstation is a W98 machine with no server-like behaviors that I've ever observed  [;)].

    It is the primary; only secondary is our ISP's own DNS (so no secondary for my internal network).

    Dan  
  • 0 in reply to martindw
    Well, I'd run a trojan scan and an AV scan on the DNS server. Then I'd take a look at the 98 machine to see if its doing anything to the DNS server that might make it repsond like that. You got the IP of the 98 machine, just run a packet sniffer, and see what packets are being transmitted to and from the DNS server.(assuming encrypted packets are decrypted at the vpn endpoints)
    DNS queries are all clear-text and easy to read. See if its doing something strange. 
Reply
  • 0 in reply to martindw
    Well, I'd run a trojan scan and an AV scan on the DNS server. Then I'd take a look at the 98 machine to see if its doing anything to the DNS server that might make it repsond like that. You got the IP of the 98 machine, just run a packet sniffer, and see what packets are being transmitted to and from the DNS server.(assuming encrypted packets are decrypted at the vpn endpoints)
    DNS queries are all clear-text and easy to read. See if its doing something strange. 
Children
  • 0 in reply to Sgt_B
    If it doesn't turn out to be a trojan on your DNS server, it is quite possible that it is just high volume of UDP traffic.  As DNS for the most part uses UDP, occassionally it can trigger portscan detectors when there are a lot of quick responses from the dns server to the client.  
  • 0 in reply to Gene_Pinson
    Traffic's not all that high.  The "portscans" that are reported are two to four individual requests (see my first post in this thread) reported by ASL as a portscan.  Because they were so small I have just instructed ASL not to report them.

    And no on any evidence of trojans, etc. on the NT box doing the "scanning."  I don't know what the specific requests made mean (refer again to the first post in this thread). . .can anyone say if they look like trojan behavior, and if so, what trojan scanning utility they would recommend to catch it?  
  • 0 in reply to martindw
    I'd recommend you run PestPatrol (download eval or purchase) AND  Spybot Search and Destroy (free download)  
  • 0 in reply to martindw
    Did you try running a packet sniffer??? I suggested that.
    www.ethereal.com
    It will tell you what the client is requesting, and how the server is responding. Maybe the 98 machine is compromised, and keeps requesting an address the dns server cannot resolve, or the 98 machine is doing something it shouldn't be. Try it.
    As far as trojan scanners...best on the market IMO is TDS-3.
    Check the sniffer output first, and if you have problems sorting through the data you get, post some here, and I'll have a look.