Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1813 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscans not detected

SalishSwede
I'm running ASL 5.2
Portscan Detection is ON

No (0) portscans have ever been detected.

From my packet filter logs, here's what appears to be a portscan [see below].  I'm wondering if portscan detection has been disabled somehow?

Thanks

Logs
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33449 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33450 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33449 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33450 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33450 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33455 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33455 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33456 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33455 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33456 LEN=53


This thread was automatically locked due to age.
Parents
  • 0
    my experience was:
    asl seems not to see these as portscans.

    but if you do many connections from fixed src ip to fixed target ip/port (like it happens if you do ftp with many small files) ... this happens to be seen as portscan. such ftp connections got interrupted in my case ....

    wonder why ...
    kind regards, chris
Reply
  • 0
    my experience was:
    asl seems not to see these as portscans.

    but if you do many connections from fixed src ip to fixed target ip/port (like it happens if you do ftp with many small files) ... this happens to be seen as portscan. such ftp connections got interrupted in my case ....

    wonder why ...
    kind regards, chris
Children
No Data