Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 7714 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Filter Logging Question

scottj_01
All-

I need some advice regarding packet filter logging. It seems that when content is delivered from Akami Technologies their servers leave a large number of logs usually ending with tcpflag RST. Please see example enclosed. My question is how do I prevent this needless logging? Mods I may have placed my post in an incorrecty under network security in place of management, logging.... Please relocate if necessary.

Thanks,
Jim

2011:05:05-12:44:14 OASIS ulogd[5189]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:90:1a:a1:41:27" dstmac="0:24:7e:x:y:z" srcip="69.31.28.242" dstip="173.A.B.76" proto="6" length="40" tos="0x00" prec="0x00" ttl="253" srcport="443" dstport="3097" tcpflags="RST" 
2011:05:05-12:44:14 OASIS ulogd[5189]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:90:1a:a1:41:27" dstmac="0:24:7e:x:y:z" srcip="69.31.28.232" dstip="173.A.B.76" proto="6" length="40" tos="0x00" prec="0x00" ttl="253" srcport="443" dstport="3119" tcpflags="RST" 
[:S]


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to scottj_01
    I found this thread and think my question is in the same vain....

    For reasons I don't understand, I very recently started seeing most of my dropped source host packets now coming from a series of IP that are resolved to *.deploy.akamitechnologies.com. I am seeing this on several Astaro setups that I maintain.

    I believe this dropped traffic is try to reach client web browser sessions but for reasons I don't understand these packets are getting dropped. This seems to be causing very slow web browser behavior that was not previously observed.....

    I think this behavior started on upgrade to 8.2 version. I also think that the Intrusion Protection is involved. Though almost all of the clients using two of the ASGs as their WAN Gateway are Macintoshs but the IP alerts are reporting Dropping traffic for various Windows related intrusion attempts.
    Examples of IP Alerts being seen now: 
    EXPLOIT Internet Explorer DOM mergeAttributes memory corruption attempt
    DOS Squid Proxy invalid HTTP response code denial of service attempt
    WEB-CLIENT Windows Vista feed headlines cross-site scripting attack attempt

    My overall question is are others see this NEW pattern?
    Secondly, is any of this traffic being blocked in error?
    Third, is something about Akami Technology caching servers or whatever they are doing, causing these false alarms or are they really bad packets or ..... in fact ..... is it possible the the Akamai servers are actually allow the creation of bad traffic either rougue traffic or just badly delayed traffic so that the client browser session or ASG itself is no longer accepting traffic on these High Ports 50,000s by the time it is being sent back?

    Thoughts on how to narrow down my ponderings and save me to paying attention to false alarms....

    Thank in advance to any comments.