Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3995 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Constant steam of spoofed packets

mrainey
Looking at packet filter live log I see a stream of spoofed packets from a variety of IP/ports to a variety of IP/ports. I started looking because 2 Vista PC's and 1 WIn7 PC suddenly think they have only local network access, no Internet, plus 1 PC this morning got a Koobface infection. I have shut it down and a system wide scan shows no other infections. But, I don't know what all of these spoofed packets mean.


This thread was automatically locked due to age.
Parents
  • 0
    I can't see from your log lines if there might be a configuration error that is causing packets from a device in 10.9.x.x to 192.168.x.x to get sent to the wrong interface.  Can you look at the unexpurgated version and make an observation about that?

    Along the lines of Jetkins' question, are both of these IPs in subnets of yours?

    Those packets to the broadcast address (255.255.255.255) on ports 67/68 - does anyone know if that's something trying to get DHCP?

    Cheers - Bob
  • 0 in reply to BAlfson
    Those packets to the broadcast address (255.255.255.255) on ports 67/68 - does anyone know if that's something trying to get DHCP?
    As I hinted earlier, I believe that's exactly what they are.  Specifically, sport 67 dport 68 dest 255.255.255.255 are almost certainly DHCP Offers, and the sport 68 dport 67 reply will be a DHCP ACK.  The DHCP Discover and DHCP Request packets from the client won't show up because it does not have any IP address at that point, let alone one that matches the internal subnet.
Reply
  • 0 in reply to BAlfson
    Those packets to the broadcast address (255.255.255.255) on ports 67/68 - does anyone know if that's something trying to get DHCP?
    As I hinted earlier, I believe that's exactly what they are.  Specifically, sport 67 dport 68 dest 255.255.255.255 are almost certainly DHCP Offers, and the sport 68 dport 67 reply will be a DHCP ACK.  The DHCP Discover and DHCP Request packets from the client won't show up because it does not have any IP address at that point, let alone one that matches the internal subnet.
Children
No Data