Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3093 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

(RE-POST) 0.0.0.0 source and 0.0.0.0 Destination

Mike_H
Hi

I am in desparate need of some help.  This is indeed a repost but with a lot more information that might make better sense.

For about a month now I have been getting the following fraffic being dropped and logged on my firewall.

2004:11:16-00:00:09 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28763 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:09 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28764 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:11 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28765 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:12 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28766 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:12 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28767 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:14 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28768 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:15 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28769 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:15 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28770 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:17 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28772 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:18 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28773 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:18 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28774 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:20 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28775 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:21 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28776 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 
2004:11:16-00:00:21 (none) kernel: DROP: IN=eth0 OUT= MAC=00:06:4f:08:fe:3b:00:c0:02:52:19:46:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=28777 PROTO=TCP SPT=0 DPT=0 WINDOW=0 RES=0x00 ACK PSH FIN URGP=0 


I have no idea where this traffic is coming from.

I am getting the above constantly and can not find a way of stopping it or at least stopping the logging of the drop.

Can anyone help.  I apologise for the repost but I am desparate to nip this in the bud

Cheers

Mike


This thread was automatically locked due to age.
Parents
  • 0
    Not sure how much this will help you, but the MAC addresses shown in there are:

    MAC Address
       Prefix         Vendor
       00C002       Sercomm Corporation

    And,

    Search results for "00:06:4f"
       MAC Address
       Prefix         Vendor
       00064F       PRO-NETS Technology C
  • 0 in reply to ReD-MaN
    Cheers ReD

    Found the issue.  It was one of my Print Servers.  Turned it off and the logging stopped.  Turned it back on and after a few minutes it started again.  I am confused as I have not changed config on it for about a year.  Do we know if Astaro logs more info around 5.023 or later as default?

    Cheers though, you got my brain in focus.

    Mike
  • 0 in reply to Mike_H
    Your print server is obviously beaconing, and it appears that it does not have an IP address assigned to it.

    I suggest you check and see if your print server's firmware is flash upgradable. If it is, update it to the latest version available from the manufacturer's web site.

    You should then create a log drop rule in ASL to eliminate the print server beacon traffic from the kernel and packet filter logs.

    Or, just get a better brand of print server, that does not chatter like your current one. There are a lot of diffrent brands of Ethernet to parallel port print servers available these days.
  • 0 in reply to VelvetFog
    Hi VelvetFrog

    Silly question I know.  What is Beaconing?  And what rule could I use to drop it?

    I said it was a silly question
Reply Children
  • 0 in reply to Mike_H
    A first guess would be to add a rule for Dropping 0.0.0.0; but since that number also has special connotations in networking, it might not work. But start there...
  • 0 in reply to Mike_H
    [ QUOTE ]
    What is Beaconing?

    [/ QUOTE ]Beaconing is the process whereby a device sends out a packet at specific intervals, this could be one every minute, or perhaps even as often as one every 10 seconds, advertising its presence on the network. It is a way for a device to say "here I am" on a regular basis. If these packets are log dropped by ASL, which is what often happens by default, then the device can create an enormous number of log entries in the daily kernel and packet filter logs. The 32-bit versions of Microsoft Windows, Win NT/2K/XP does a fair amount of netbios beaconing, which is a real nuisance.

    [ QUOTE ]
    And what rule could I use to drop it? 

    [/ QUOTE ]You identify the IP address of the device, or the destination address it sends the packets to, and the relevant port number, and you then create a drop rule to eliminate the packets from being logged.