Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1632 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG V6 - High Packet Filter Violations

ARViox
Hello guys,[:)]
i have the following problem on our asg:
I am constantly checking the packet filter violation reports and they are on average at 300 - 2000 short peak. But today i saw a new record peak at 7000 for a not that short period of time. So i checked the Packet filter violation logs files and found out that we are constantly receiving packets from various ips with 2 common destination ports 1st 12330 and 2dn 62505 - tcp and udp. Ip destination is our asg. 
To me this looks like a bot net attack. 
I couldnt find out anything useful about the dest ports nor doest it seem to be a real issue at the moment. 
But i do not intend to let it get one either.

Do u have any suggestions how to handle this matter, avoid denial of service or worse?

For your conveniance i will post an extract of the concerning log file in the attachments.

As i said the source ips are variing.

Thanks in advance for hopefully quick replies.


This thread was automatically locked due to age.
Parents
  • 0
    You say it's from random IPs?  Have you put a protocol analyzer on outside the Astaro to see what's going on?

    Cheers - Bob
  • 0 in reply to BAlfson
    Astaro is already dropping the traffic, but if you don't want it filling up your logs, you can add your own drop rules for this traffic, at the bottom of the packetfilter list.

    If it is consuming too much bandwidth, you should ask your ISP to block it upstream.

    Barry
  • 0 in reply to BarryG
    Thanks first, questions after

    @BAlfson
    a protocol analyzer to see whats in the packets or for statistical reason?
    do you have a recommendation?

    @BarryG
    [:D] yes its blocking the traffic but no reason for me not to investigate.
    since its not normal for our network to encounter such an amount of filter violations. what about the rates? are they low, high please tell me from your experience if its negligible.
    (i just noticed, its totally depending on our packet filter rules; but lets say in general)
Reply
  • 0 in reply to BarryG
    Thanks first, questions after

    @BAlfson
    a protocol analyzer to see whats in the packets or for statistical reason?
    do you have a recommendation?

    @BarryG
    [:D] yes its blocking the traffic but no reason for me not to investigate.
    since its not normal for our network to encounter such an amount of filter violations. what about the rates? are they low, high please tell me from your experience if its negligible.
    (i just noticed, its totally depending on our packet filter rules; but lets say in general)
Children
  • 0 in reply to ARViox
    First, I'd go along with Barry's straighforward suggestion; if it's a problem, get your ISP to block the traffic.  If it's no problem and you just don't want that stuff mucking up your logs, put a rule at the bottom that drops silently.

    A great, free protocol analyzer that I've also seen mentioned here is WireShark.

    Cheers - Bob
  • 0 in reply to ARViox

    [:D] yes its blocking the traffic but no reason for me not to investigate.
    since its not normal for our network to encounter such an amount of filter violations. what about the rates? are they low, high please tell me from your experience if its negligible.
    (i just noticed, its totally depending on our packet filter rules; but lets say in general)


    I have 30-40 public IPs behind an Astaro 6.3 firewall, and our packetfilter graphs don't go over 1000 violations, but I have a lot of countries completely blocked without logging, so I'm not sure if they'd show up or not.

    I agree that it should be investigated, but I wouldn't worry about it unless it's continual and/or using up a significant amount of bandwidth.

    Barry