Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 6349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS - packet not being dropped

NotEnufTime
IPS started logging the following: "PROTOCOL-DNS domain not fount containing random-looking host name - possible DGA detected.  It also says that the packet has not been dropped.  I have checked our IPS rule, and it was set to drop.  So I changed it to terminate, to see if that would make any difference in the log.  I am continuing to get the same message.
If I log to the firewall, it shows that IPS is blocking the attempts.
The source IP address of this attack is the IP of our ISP's DNS server.  Would that be an accurate IP address in the message?  I have notified our provider of the issue to see if they can be of assistance.  As I am not that familiar with these devices, is there anything else I can do, to get to the bottom of this?  I am getting hit with these messages very frequently since late last night.
Thank you.
Rita


This thread was automatically locked due to age.
Parents
  • 0
    I would like some more info on this log entry too,
    I get it from my ISP-router to the UTM, but also from UTM to clients.
  • 0 in reply to FrankBarmentlo
    Good Morning, 
    I continue to receive the following messages:

    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future, set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: PROTOCOL-DNS TMG Firewall Client long host entry exploit attempt
    Details........: https://www.snort.org/search?query=19187
    Time...........: 2015-03-23 10:17:06
    Packet dropped.: no
    Priority.......: high
    Classification.: Attempted User Privilege Gain IP protocol....: 17 (UDP)

    Source IP address: x.x.x.x (ISP's DNS server) Source port: 53 (domain) Destination IP address: x.x.x.x  Destination port: 56290
            
    -- 
    System Uptime      : 1 day 18 hours 3 minutes
    System Load        : 0.96
    System Version     : Sophos UTM 9.309-3

    Please refer to the manual for detailed instructions.




    IPS: Top blocked attacks

     
     
     
    Total attacks blocked: 994 

      Rule ID Rule Description Rule group Packets % 
    1 19187 PROTOCOL-DNS TMG Firewall Client long host entry exploit attempt Server / Misc / DNS 963 96.88 
    2 31738 PROTOCOL-DNS domain not found containing random-looking hostname - possible DGA detected Server / Misc / DNS 31 3.12 
     
     
      


    Prior to doing the latest update, I never had anything logged in the IPS, and did not start getting these until 2 days after I did the update, which happened last Wednesday evening. 
    I do have a couple of "Add extra warnings"  checked in the Intrusion Prevention>Attack Patterns, one of which is the DNS, but it has always been checked. 

    Were these always happening, but just not being logged?  Is this 'normal' to see and/or what would a normal amount being logged be?

    Also, why does it say that the packet has not been dropped, when this is what is set for the IPS policy?  Is there something else that needs to be set that I have missed?  

    Thank you to all, for any insight.

    Rita
Reply
  • 0 in reply to FrankBarmentlo
    Good Morning, 
    I continue to receive the following messages:

    Intrusion Prevention Alert

    An intrusion has been detected. The packet has *not* been dropped.
    If you want to block packets like this one in the future, set the corresponding intrusion protection rule to "drop" in WebAdmin.
    Be careful not to block legitimate traffic caused by false alerts though.

    Details about the intrusion alert:

    Message........: PROTOCOL-DNS TMG Firewall Client long host entry exploit attempt
    Details........: https://www.snort.org/search?query=19187
    Time...........: 2015-03-23 10:17:06
    Packet dropped.: no
    Priority.......: high
    Classification.: Attempted User Privilege Gain IP protocol....: 17 (UDP)

    Source IP address: x.x.x.x (ISP's DNS server) Source port: 53 (domain) Destination IP address: x.x.x.x  Destination port: 56290
            
    -- 
    System Uptime      : 1 day 18 hours 3 minutes
    System Load        : 0.96
    System Version     : Sophos UTM 9.309-3

    Please refer to the manual for detailed instructions.




    IPS: Top blocked attacks

     
     
     
    Total attacks blocked: 994 

      Rule ID Rule Description Rule group Packets % 
    1 19187 PROTOCOL-DNS TMG Firewall Client long host entry exploit attempt Server / Misc / DNS 963 96.88 
    2 31738 PROTOCOL-DNS domain not found containing random-looking hostname - possible DGA detected Server / Misc / DNS 31 3.12 
     
     
      


    Prior to doing the latest update, I never had anything logged in the IPS, and did not start getting these until 2 days after I did the update, which happened last Wednesday evening. 
    I do have a couple of "Add extra warnings"  checked in the Intrusion Prevention>Attack Patterns, one of which is the DNS, but it has always been checked. 

    Were these always happening, but just not being logged?  Is this 'normal' to see and/or what would a normal amount being logged be?

    Also, why does it say that the packet has not been dropped, when this is what is set for the IPS policy?  Is there something else that needs to be set that I have missed?  

    Thank you to all, for any insight.

    Rita
Children
No Data