Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3052 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TCP Port 53 - 24,000 Packets Dropped in 3hrs - Network Down

FrenchiiLaf
I have experience an issue recently. The whole network went down. I generated an Executive Summary Report & noticed that more than 24,000 packets were dropped by TCP Port 53 in 3hrs. I think that cause the failure of Astaro.

Any ideas or advices anyone?

Regards,
Frenchie


This thread was automatically locked due to age.
  • 0
    Port 53 is DNS.  Usually UDP is used, but TCP usage will now be more common with DNSSEC gaining steam.
     
    Are you running DNS servers by chance and if so, did you add them to the Performance Tuning section of the IPS on the advanced tab?  Are the source or destination of the dropped packets DNS servers under your control?
  • 0 in reply to Scott_Klassen
    Hey Scott,

    Thanks for your reply. Yes I find out that Port 53 is related to DNS. Yes I put my DNS server under "Perfomance Tuning". I was wondering if the network did not suffer from a DoS attack. I am hesitating to use the TCP SYN Flood Protection under "Anti-DoS/Flooding". What do you reckon?

    Regards,
    Frenchie
  • 0
    The Anti-DoS/Flooding features are your friends and the defaults allow a good bit of headroom to keep from denying valid traffic, but can be adjusted to your environment.
     
    I just took a look and SANS saw a huge spike in the amount of port 53 traffic over the last few days. This has to do with a change that took effect on the 5th, with the last of the internet Root DNS servers switching over to DNSSEC. Previously the recommendation was to block DNS packets greater than 512kb because valid DNS requests or replys were smaller than this. With DNSSEC, valid packets can be larger than this value, so the new recommendation is to remove these filters. There's a thread about this at https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39660. I think the baddies will try to exploit this by sending packets with payloads larger than 512kb for awhile, but this is just personal opinion.
  • 0 in reply to Scott_Klassen
    Hey Scott,

    Thanks again for your advice. So if I understand well, the DNS flooding problem was due to the introduction of "DNSSEC" carried on the 5th May 2010? No actions have to be taken?

    Cheers,
    Frenchie
  • 0 in reply to FrenchiiLaf
    Hi,
    did you have an restart. I get those figures every time I do a restart. Makes the security report useless for the rest of the day.

    Ian M