UDP Flood to host meldingen op ExperiaBox KPN

Ik heb een Xperiabox V8 van KPN en daarachter een pfSensebox. Alle inkomende verkeer zet ik d.m.v. de dmz functie door naar de pfSense.
De pfSense is zo ingericht dat ik cloudflare server gebruik voor DNS. En voor de clients achter de pfSense gebruik ik unbound als DNS resolver met DoT.

Toch merk ik soms rare internet vertragingen, vaak DNS gerelateerd, maar ik zie niks vreemds in de logs van de pfSense.

Toevallig keek ik in de ExperiaBox en zag onderstaande meldingen richting het WAN ip van de pfSense vanaf Cloudflare DNS.

09/10/2021 22:10:53 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 1939 (from PPPoE1 Inbound)
09/10/2021 22:05:51 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 17822 (from PPPoE1 Inbound)
09/10/2021 22:00:48 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 59061 (from PPPoE1 Inbound)
09/10/2021 21:55:33 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 31057 (from PPPoE1 Inbound)
09/10/2021 21:50:29 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 43135 (from PPPoE1 Inbound)
09/10/2021 21:45:26 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 62686 (from PPPoE1 Inbound)
09/10/2021 21:40:23 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 62731 (from PPPoE1 Inbound)
09/10/2021 21:35:20 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 52428 (from PPPoE1 Inbound)
09/10/2021 21:30:15 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 47931 (from PPPoE1 Inbound)
09/10/2021 21:25:12 **UDP Flood to Host** 1.0.0.1, 53->> 192.168.100.10, 48450 (from PPPoE1 Inbound)
09/10/2021 21:20:09 **UDP Flood to Host** 1.0.0.1, 53->>

Maar ook deze meldingen:
09/10/2021 10:05:49 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 40538 (from PPPoE1 Inbound)
09/10/2021 10:05:49 **TCP FIN Scan** 1.1.1.1, 853->> 192.168.100.10, 40542 (from PPPoE1 Inbound)
09/10/2021 10:05:48 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 40512 (from PPPoE1 Inbound)
09/

Kan iemand mij vertellen wat hier gebeurt?
Word ik aangevallen?
Wat doet de ExperiaBox hier mee?
En als dit een aanval is, wat kan ik er tegen doen?

HKLM_ schreef op vrijdag 10 september 2021 @ 22:38:
Wat zit er op 1.0.0.1? poort 53 is DNS dus iets lijkt veel query's te doen.

Je bedoelt 100.10? Dat is de WAN interface van de pfSense.
Maar ik blokkeer alle udp 53 verkeer vanaf elk vlan naar buiten. Unbound is zo geconfigureerd dat alles via DoT gaat (853).

[ Voor 40% gewijzigd door CPM op 10-09-2021 22:51 ]

Brahiewahiewa schreef op vrijdag 10 september 2021 @ 23:01:
[...]

Lijkt er op dat je dat niet aan cloudfare hebt verteld, dus dat die retransmits doet op udp/53 wat dan weer door je experiabox wordt gesignaleerd als udp flood

Sinds wanneer moet je aan cloudflare vertellen dat je hun DNS servers gebruikt? Die zijn publiekelijk beschikbaar, voor zowel DNS als DoT en DoH.

Brahiewahiewa schreef op zaterdag 11 september 2021 @ 13:24:
[...]

Je hoeft cloudfare niet vertellen dat je hun dns servers gebruikt, want dat merken ze vanzelf wel.
Maar je moet ze wel vertellen dat jij geen antwoord via udp verwacht. Meestal doe je dat door je dns-queries via tcp te versturen

Ik kan jouw antwoord niet plaatsen. DoT is bij default udp (op 853). Zoals ik aangeef is een "normale" DNS geblockt.

Ik heb de hele config van de pfSense doorlopen, maar de culprit nog niet gevonden.
De pfSense zelf (system, general setup) kan ook gebruik maken van DNS. Daar is een optie: Use local DNS (127.0.0.1), ignore remote DNS Servers.

By default the firewall will use local DNS service (127.0.0.1, DNS Resolver or Forwarder) as the first DNS server when possible, and it will fall back to remote DNS servers otherwise. Use this option to choose alternate behaviors.

Deze optie staat aan. Dus het systeem zelf kijkt naar unbound.
In unbound staat de volgende opties uit:
If this option is set, DNS queries will be forwarded to the upstream DNS servers defined under System > General Setup or those obtained via DHCP/PPP on WAN (if DNS Server Override is enabled there).


Op elk vlan staat een firewall rule die TCP/UDP 53 op deny to any.
Uiteraard staat er een allow rule boven richting de DNS resolver (unbound)
Ook is er een floating rule met dezelfde settings.

Er gaat dus geen DNS verkeer op poort 53 naar buiten.

Helaas kan ik op de ExperiaBox geen Flood detection uitschakelen. Volgens KPN zou door het aanzetten van de DMZ functie alle verkeer doorgezet moeten worden.
En dat klopt ook, want ik zie ook andere port scans e.d. opgemerkt worden in de ExperiaBox die gewoon door gaan richting de pfSense om vervolgens door Snort te worden opgemerkt en geblokkeerd.

Afgelopen dag alleen nog deze meldingen gezien:
09/12/2021 20:14:27 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 61584 (from PPPoE1 Inbound)
09/12/2021 20:14:26 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 61577 (from PPPoE1 Inbound)
09/12/2021 19:57:43 **TCP FIN Scan** 1.1.1.1, 853->> 192.168.100.10, 38557 (from PPPoE1 Inbound)
09/12/2021 19:57:42 **TCP FIN Scan** 1.1.1.1, 853->> 192.168.100.10, 38556 (from PPPoE1 Inbound)
09/12/2021 16:43:35 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 21897 (from PPPoE1 Inbound)

Nee dit lijkt idd meer op een goede config.

Toch blijf ik gekke zaken zien:

TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 34063 (from PPPoE1 Inbound)
09/16/2021 10:49:08 **Vecna Scan** 1.0.0.1, 853->> 192.168.100.10, 34056 (from PPPoE1 Inbound)
09/16/2021 10:49:07 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 34051 (from PPPoE1 Inbound)
09/16/2021 10:49:06 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 34047 (from PPPoE1 Inbound)
09/16/2021 10:49:04 **TCP FIN Scan** 1.0.0.1, 853->> 192.168.100.10, 34041 (from PPPoE1 Inbound)
09/16/2021 09:34:05 **UDP Loop** 184.105.139.77, 39838->> 192.168.100.10, 19 (from PPPoE1 Inbound)
09/16/2021 09:15:17 **UDP Loop** 80.82.77.235, 44545->> 192.168.100.10, 7 (from PPPoE1 Inbound)

Ben wel benieuwd wat die 3 dingen zijn.