Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3909 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Excessive Default drop of UDP 53 traffic

mbarnocki
We use an astaro v7 firewall and I have one single PC on my network that every five seconds is trying to connect to a random external IP over port 53.  Internally it is using a high port number and counting up every new attempt, ie 32909, 32910, 32911...  These packets are dropped every time but I would like to figure out why this is happening and how to stop it.  I have run Malwarebytes and Symantec 11 with no results.  He has an iphone plugged in usually but only through USB he is just charging it.  Any insight anyone has would be appreciated.

08:08:13 Default DROP UDP 192.168.1.237 : 31268 
 → 193.0.14.129 : 53 
08:08:18 Default DROP UDP 192.168.1.237 : 31269 
 → 128.63.2.53 : 53 
08:08:22 Default DROP UDP 192.168.1.237 : 31270 
 → 192.5.5.241 : 53 
08:08:27 Default DROP UDP 192.168.1.237 : 31271 
 → 128.63.2.53 : 53 
And on and on.


This thread was automatically locked due to age.
Parents
  • 0
    After some more research it appears that the IPs it is trying to connect to are not random they are the DNS root servers

    It looks like Ian hit the nail sqare on the head!  The only reason he'd be looking to the root name servers is because his DNS is broken.  Try an ipconfig /flushdns on this PC, followed by ipconfig /all to check that it has the proper DNS entry.

    Cheers - Bob
    PS You might find this thread interesting: https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    After some more research it appears that the IPs it is trying to connect to are not random they are the DNS root servers

    It looks like Ian hit the nail sqare on the head!  The only reason he'd be looking to the root name servers is because his DNS is broken.  Try an ipconfig /flushdns on this PC, followed by ipconfig /all to check that it has the proper DNS entry.

    Cheers - Bob
    PS You might find this thread interesting: https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data