Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1981 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Undetected portscan

martindw
Can anyone tell me why the following was not detected as a portscan?  I happened to be looking at the packet filter livelog and saw it, but it never showed up in my portscan log.

The IP address 209.233.190.166 is a second IP address for my WAN port, masqued to an internal webserver (SSL only).

   2004-Apr  7 09:45:15 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7149 DF PROTO=TCP SPT=3869 DPT=1025 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:15 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7150 DF PROTO=TCP SPT=3881 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:15 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7155 DF PROTO=TCP SPT=3882 DPT=3127 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:15 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7156 DF PROTO=TCP SPT=3883 DPT=6129 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:15 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7157 DF PROTO=TCP SPT=3884 DPT=139 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:18 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7722 DF PROTO=TCP SPT=3862 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:18 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7723 DF PROTO=TCP SPT=3869 DPT=1025 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:18 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7724 DF PROTO=TCP SPT=3881 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:18 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7747 DF PROTO=TCP SPT=3882 DPT=3127 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:18 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=7749 DF PROTO=TCP SPT=3883 DPT=6129 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:24 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=9741 DF PROTO=TCP SPT=3881 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:24 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=9742 DF PROTO=TCP SPT=3869 DPT=1025 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:24 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=9743 DF PROTO=TCP SPT=3862 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:24 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=9758 DF PROTO=TCP SPT=3884 DPT=139 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:24 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=9759 DF PROTO=TCP SPT=3883 DPT=6129 WINDOW=64800 RES=0x00 SYN URGP=0 
2004-Apr  7 09:45:24 (none) kernel: TCP Drop: IN=eth1 OUT= MAC=00:a0:cc[:D]b:90:12:00:06[:D]7:ee:21:ae:08:00 SRC=209.233.197.111 DST=209.233.190.166 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=9760 DF PROTO=TCP SPT=3882 DPT=3127 WINDOW=64800 RES=0x00 SYN URGP=0 
 

TIA,

Dan  


This thread was automatically locked due to age.
Parents
  • 0
    Dan,

    I think the scan wasn't fast enough to be detected:

    Code:
    psd weight-threshold: 21 delay-threshold: 300 lo-ports-weight: 3 hi-ports-weight: 1


    If I am reading the rule for portscan detection right - this means ports below 1024 get a score of 3 and ports above 1. If the total score reaches 21 PSD would detect a scan but not if there are more than 300ms in between the single scan attempts.

    There is a gap for exampbe between 09:45:15 and 09:45:18

    Start calculating :-)

    Greetings
    cyclops
  • 0 in reply to cyclops
    Yup, last I checked 3 seconds is a tad longer than 300 ms. . . 

    Thanks for the input anyhow!  Might signal that Astaro needs to modify the threshold for what gets qualified as a scan. . .

    D
Reply Children
No Data