Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 7019 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Learning about "Unsolicited Packets" - firewall response to an online port scan

coolrouting
Hi everyone,

First off, thanks for all the help you guys give!
I am an engineering student and have learned so much over the past few months with my UTM system - it has been an awesome experience.

I just updated to 9.314013 yesterday and for whatever reason decided to head over to GRC ShieldsUp and run a scan.  To my surprise, it came back with "Unsolicited Packets" received, but ports stealthed...

I have previously run this test many times before and not recieved this result!  The strange thing was when I ran it the first time, there were no unsolicited packets received, but on the 2nd run, it did say it received unsolicited packets.


----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2015-08-02 at 05:18:00

Results from scan of ports: 0-1055

    0 Ports Open
    0 Ports Closed
 1056 Ports Stealth
---------------------
 1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - Received one or more unsolicited packets,
                   - NO Ping reply (ICMP Echo) was received.

----------------------------------------------------------------------




I am reading up more on how "unsolicited packets" work and was wondering if anyone could help point me in the right direction in regards to my UTM settings that could be the cause of this...

Has anyone else come across this in the past when they run ShieldsUp twice in a row?

Thanks for any input you have! Cheers!


This thread was automatically locked due to age.
  • 0
    unsolicited packets i am not sure is a really bif problem.  I "failed" this test because ia lolw ping replies:
    Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .



    Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)



    Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

    not a big deal either.  what are your rules on the firewall?
  • 0 in reply to William Warren
    unsolicited packets i am not sure is a really bif problem.  I "failed" this test because ia lolw ping replies:
    Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .



    Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)



    Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

    not a big deal either.  what are your rules on the firewall?


    Thanks a lot for the response! My friend scanned me with nmap and it came back without anything (everything filtered).

    Here are my firewall rules attached...
  • 0
    Unsolicited packets should not garner any response as they have no entry in the state table. 

    Did you run the scan again? See if you are clean and it was a fluke. If not, I would do that with packet capture turned on to see what if any response is going back. Somewhere on this forum are the steps to turn on packet capture via the terminal.

    C68
  • 0
    I just rebooted my box and tried again and it passed the first time, second time and third time.  I think something "went wrong" after the update as I started getting cert errors on sites and traffic was grinding to a halt even though CPU on the UTM was low and ram was at ~40% of 3GB.  I'll add doing a 2nd reboot after an update as a thing to remember for next time...

    Thanks for the help everyone!!
  • 0
    Hi, CR, and welcome to the User BB!

    William recently commented in another thread that he does a prophylactic reboot after every Up2Date.  I do that whenever someone has a problem, but I'm thinking about making it a habit until V9 is as reliable as earlier versions prior to 2014.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, CR, and welcome to the User BB!

    William recently commented in another thread that he does a prophylactic reboot after every Up2Date.  I do that whenever someone has a problem, but I'm thinking about making it a habit until V9 is as reliable as earlier versions prior to 2014.

    Cheers - Bob


    Thanks Bob, great info!