Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1813 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscans not detected

SalishSwede
I'm running ASL 5.2
Portscan Detection is ON

No (0) portscans have ever been detected.

From my packet filter logs, here's what appears to be a portscan [see below].  I'm wondering if portscan detection has been disabled somehow?

Thanks

Logs
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33449 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33450 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33449 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33450 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33450 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33451 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33452 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33453 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33455 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33455 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.140 DST=[my internet addr] PROTO=UDP SPT=32832 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.139 DST=[my internet addr] PROTO=UDP SPT=32833 DPT=33454 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.137 DST=[my internet addr] PROTO=UDP SPT=32829 DPT=33456 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.136 DST=[my internet addr] PROTO=UDP SPT=32830 DPT=33455 LEN=53
kernel: DROP: IN=eth2 OUT= MAC=xxxx SRC=216.115.25.138 DST=[my internet addr] PROTO=UDP SPT=32831 DPT=33456 LEN=53


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to AdrienBelcourt
    In that case, port scan detection software will need to be updated, to allow for this possibility, and recognize it for what it is, a port scan originating from a single source that is using an IP address block as an aid  to perform scans "below the radar".
  • 0 in reply to VelvetFog
    Hi,

    well the astaro portscan detection is a rather crude configuration. 
    The build in detection only triggers if there are more than 10 ports per second scanned. So you should also be able, to bypass it by scanning only 1 port every second. Default value of snort is around 5 ports in 7 seconds. 

    Remeber it has to cache those triggers to analyze if its a portscan, the longer the period it has to watch, the more power it needs to cache and analyze. So its no good idea if they set the period to 60 seconds. [:)]

    Most other scans are deteced by analyzing the packet itself, rather then the ports they are aimed to. 

    Chris