Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5107 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A lot of SSDP default drop, why?

magnusha
I have some problem figuring out what the cause of the massive SSDP drop on my firewall. Yesterday I had 90 611 dropped packets on the firewall. Anyone have an idea of what causing this issue? I have added some live log if it is to any help. 

Thanks!  
01:09:13	Default DROP	SSDP	  108.162.242.191:80→myip:1900 len=118	ttl=244	tos=0x00	srcmac=XX tmac=XX



01:09:13	Default DROP	SSDP	  66.249.84.248:80→myip:1900 len=118	ttl=244	tos=0x00	srcmac=XX	dstmac=XX



01:09:13	Default DROP	SSDP	 66.249.84.248:80→myip:1900 len=118	ttl=244	tos=0x00	srcmac=XX	dstmac=XX



01:09:13	Default DROP	SSDP	 66.249.84.248:80→myip:1900 len=118	ttl=244	tos=0x00	srcmac=XX	dstmac=XX



01:09:15	Default DROP	SSDP	 5.196.36.119:27015→myip:1900 len=118	ttl=244	tos=0x00	srcmac=XX	dstmac=XX


This thread was automatically locked due to age.
  • 0
    Excerpts from the full firewall log would be much more helpful.  Do you have a firewall rule to allow the traffic?  Also, please Go Advanced and post a screenshot of the SSDP service definition details you created.  Very unusual to want to allow SSDP from external IPs.  Do you recognize any of those IPs?
  • 0
    Hi, magnusha, and welcome to the User BB!

    Yeah, the Firewall Live Log is, alone among Live Logs, different from the full log file.  Are you in an area with reliable, responsive Internet?

    Cheers - Bob
  • 0
    SSDP is upnp and that gets dropped by default.  UPNP is not supported by the firewall BTW.
  • 0
    I does not expect any SSDP traffic form external sources, so no I don't recognize the IPs. I have a Philips Hue bridge connected in the DMZ zone, but often connect to it via my local home network (not internet). But it doesn't help to unplug the bridge.  Attached to this posts is a firewall setup.

    My internet is fast and the ping is low. But it's not normal to have that many dropped packages? See attachment.
  • 0
    it's not normal to have that many dropped packages
    It is if this is unexpected/unwanted traffic.
  • 0
    Hello. I made an account just to address this one issue as I came across it doing casual web browsing.

    The drops you are seeing are quite possibly an issue with home routers being hit with an exploit. My company got hit with a DDoS a while ago and it was because many of these devices hit us all at once.

    I obviously encourage you to come to your own conclusion, but I suspect this is something very similar. We are still seeing this type of traffic hit us but it's not in a volume that would take us down.

    Just to give you an idea of what we got hit with, it was 500,000+ connections across 90,000 IPs for about 8 minutes. Consider tracking the IPs to their geolocation and you may see these all across the world, that's what we saw.

    Hope this information is helpful in your analysis.
  • 0
    Just a follow-up I might have gotten some information wrong so I attached a SANs article that hopefully details it some. Again make your own analysis but maybe this can be a good supplement: SANS: Malware FAQ: Microsoft Windows UPnP vulnerabilities