Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3054 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TCP Port 53 - 24,000 Packets Dropped in 3hrs - Network Down

FrenchiiLaf
I have experience an issue recently. The whole network went down. I generated an Executive Summary Report & noticed that more than 24,000 packets were dropped by TCP Port 53 in 3hrs. I think that cause the failure of Astaro.

Any ideas or advices anyone?

Regards,
Frenchie


This thread was automatically locked due to age.
Parents
  • 0
    The Anti-DoS/Flooding features are your friends and the defaults allow a good bit of headroom to keep from denying valid traffic, but can be adjusted to your environment.
     
    I just took a look and SANS saw a huge spike in the amount of port 53 traffic over the last few days. This has to do with a change that took effect on the 5th, with the last of the internet Root DNS servers switching over to DNSSEC. Previously the recommendation was to block DNS packets greater than 512kb because valid DNS requests or replys were smaller than this. With DNSSEC, valid packets can be larger than this value, so the new recommendation is to remove these filters. There's a thread about this at https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39660. I think the baddies will try to exploit this by sending packets with payloads larger than 512kb for awhile, but this is just personal opinion.
Reply
  • 0
    The Anti-DoS/Flooding features are your friends and the defaults allow a good bit of headroom to keep from denying valid traffic, but can be adjusted to your environment.
     
    I just took a look and SANS saw a huge spike in the amount of port 53 traffic over the last few days. This has to do with a change that took effect on the 5th, with the last of the internet Root DNS servers switching over to DNSSEC. Previously the recommendation was to block DNS packets greater than 512kb because valid DNS requests or replys were smaller than this. With DNSSEC, valid packets can be larger than this value, so the new recommendation is to remove these filters. There's a thread about this at https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39660. I think the baddies will try to exploit this by sending packets with payloads larger than 512kb for awhile, but this is just personal opinion.
Children