Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3907 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Excessive Default drop of UDP 53 traffic

mbarnocki
We use an astaro v7 firewall and I have one single PC on my network that every five seconds is trying to connect to a random external IP over port 53.  Internally it is using a high port number and counting up every new attempt, ie 32909, 32910, 32911...  These packets are dropped every time but I would like to figure out why this is happening and how to stop it.  I have run Malwarebytes and Symantec 11 with no results.  He has an iphone plugged in usually but only through USB he is just charging it.  Any insight anyone has would be appreciated.

08:08:13 Default DROP UDP 192.168.1.237 : 31268 
 → 193.0.14.129 : 53 
08:08:18 Default DROP UDP 192.168.1.237 : 31269 
 → 128.63.2.53 : 53 
08:08:22 Default DROP UDP 192.168.1.237 : 31270 
 → 192.5.5.241 : 53 
08:08:27 Default DROP UDP 192.168.1.237 : 31271 
 → 128.63.2.53 : 53 
And on and on.


This thread was automatically locked due to age.
  • 0
    Hi,
    please provide some more details about how the DNS and DHCP servers are configured on your ASG.

    I would suggest that this PC/user is trying to bypass the ASG and not using the ASG as its DNS eg a mis-configured PC

    Ian M
  • 0
    After some more research it appears that the IPs it is trying to connect to are not random they are the DNS root servers.  

    I checked the ip configuration of the PC and it has the correct DNS server setup for our network.  

    As far as the setup of out DNS and DHCP on the ASG we have seperate DNS and DHCP servers that is not handled on the ASG and it being only one PC with the problem doesnt indicate to me a setup issue.
  • 0
    After some more research it appears that the IPs it is trying to connect to are not random they are the DNS root servers

    It looks like Ian hit the nail sqare on the head!  The only reason he'd be looking to the root name servers is because his DNS is broken.  Try an ipconfig /flushdns on this PC, followed by ipconfig /all to check that it has the proper DNS entry.

    Cheers - Bob
    PS You might find this thread interesting: https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I had something like this drive me crazy for a couple of days also.  A machine was sending traffic and I could not track down the application. 

    I used a program called currports to find out what was doing it:
    CurrPorts: Monitoring TCP/IP network connections on Windows

    I thought it was pretty useful in trying to track down what I later found out was a user who had installed the vmware player which was doing some strange stuff.

    Anyway, that program is like constantly running "netstat -b" under windows.  

    Hope this helps.