Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unusual Domains in Web Usage Report, e.g. 96.443

asc
Hi,

today I stumbled over some quite unusual domain names in the web usage reports of UTM 9.105-9.

I see domains like the following in my report:

96.443
94.443
137.443

It looks like the firewall cuts the first byte of the destination IP address, adds a dot and concatenates the destination port to that string. Does anybody else experience that, too, or is some funky stuff going on in my network?

Regards
Alex


This thread was automatically locked due to age.
  • 0
    Interesting.  Note that 443-256=187, so, 96.443 is 96.0.1.187.  Can you find that IP in the Web Filtering log file?

    Cheers - Bob
  • 0
    Hi Bob, im just trying to understand what you did here. 
    Were did you get the value of 256 from?
  • 0
    443 = (0x256x256) + (1x256) + (187x1)

    Now, I don't know if this means anything, so that's why I asked.

    Cheers - Bob
  • 0
    443 also happens to be the port used when doing https.

    I suggest that you look at the underlying logs.

    Go to logging and reporting, View Log Files, Search log files, Web Filtering.

    Search for the odd domain names and see if the full url explains what is going on.  If not, post a sample of the logs.
  • 0
    Hey Bob!

    You're right, there are indeed entries like this here in the log:

    2013:10:11-16:26:49 cbseydler-1 httpproxy[28073]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.156.22" dstip="96.0.1.187" user="" statuscode="504" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x27189648" url="96.0.1.187/" exceptions="" error="Connection to server timed out" category="9998" reputation="neutral" categoryname="Uncategorized"


    Nice work, Sherlock! [:)]

    Regards
    Alex
  • 0
    I learned something today!

    Just for fun, I calculated that (96x256x256x256) + (0x256x256) + (1x256) + (187x1) = 1610613179.  I put http://1610613179/ into IE9, and it immediately translated that into http://96.0.1.187/ - COOL!

    Alex, I wonder if you look at the HTML source of the page you were on at the time if there's an href="http://96.443/ entry.

    Cheers - Bob
  • 0
    Two issues then:

    1) Why is the computer at 192.168.156.22 making these requests?  This is not a sophos issue, but might be interesting.

    2) Why is it that http://96.0.1.187/ is being interpreted as 96.443 in the web usage reports.  As Bob said and I agree - they can be interpreted to mean the same thing, but its odd that it is displayed one way in one location and another in a different location.

    For the second issue, do you mind posting a screenshot?  There is probably nothing to be done unless you raise this through support, but if there is a screenshot and corresponding log I can ping the developer with it.
  • 0
    Hi, here is the "known issue" for this problem (bug). I have seen this problem on some UTMs.

    ID27473 9.103 Visit of ZDF mediathek will cause a display bug in websec reporting.
    ------------------------------------------------------------------------
    Description:  By visiting the ZDF Mediathek the IP address in reporting
                  will be displayed not correctly. 
                  
                  Example: 
                  "193.443" instead of "87.248.193.47:443"

    Workaround:
    Fixed in:


    Nice greetings
  • 0
    Thanks Guy,

    For everyone's info - the issue is that the app is actually doing something like:
    http://1.2.3.4:443/

    Which means it is doing http using an https port.  This confuses reporting.
  • 0
    That was why I asked about looking at the source code of the page that came from.  I suspect that it includes href="http://96.443/, and that that URL is what is reported.  I don't think this is a bug, just a little-known aspect of how IPv4 works.

    Cheers - Bob