[firewall] veel dropped packets DPT=11822 - Linux en overige clients

maandag 2 februari 2004 22:28

Acties:

Topicstarter

Vorige maand heb ik mijn SuSE personal firewall zo geconfigureerd dat hij critical drops logt.
Vandaag zat ik eens door mijn logfiles heen te bladeren en het viel mij op dat met name packets voor port 11822 erg vaak gedropped worden (zo'n 20.000 keer per dag), telkens van een ander IP-adres.
Hieronder zo'n dropmelding:

code:

Feb  2 22:31:39 [hostname] kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT= 
MAC=[mijn mac-adres] SRC=[remote ip-adres] DST=[mijn ip-adres] LEN=47
TOS=0x00 PREC=0x00 TTL=114 ID=4451 PROTO=UDP SPT=3099 DPT=11822 
LEN=27

Op google en in de nieuwsgroepen kon ik niet vinden waar deze poort voor dient, of dat hij misschien door een virus gebruikt wordt. Omdat ik mijn logfiles niet zo lang bewaar kan ik niet zeggen sinds wanneer dit zich voordoet, in ieder geval vanaf 10 januari.
Iemand enig idee wat er aan de hand is en/of waar deze port voor dient?

dinsdag 3 februari 2004 14:47

Acties:

0xDEADBEEF

http://lists.gpick.com/portlist/portlist.htm

3099 TCP chmd CHIPSY Machine Daemon
3099 UDP chmd CHIPSY Machine Daemon

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

dinsdag 3 februari 2004 20:37

Acties:

mcl

Topicstarter

LaLaLand schreef op 03 februari 2004 @ 14:47:
http://lists.gpick.com/portlist/portlist.htm

3099 TCP chmd CHIPSY Machine Daemon
3099 UDP chmd CHIPSY Machine Daemon

Handige site LaLaLand, bedankt!
Ik ben alleen in mijn post vergeten te zeggen dat de source-port ook telkens verschillend is. Enige constante factor is de DPT.
Ik overweeg nu om bij wijze van experiment poort 11822 door te laten, en dan met tcpdump te kijken wat er nu precies gebeurt.
Voordat ik dat doe wil ik nog even afwachten of hier niet iemand nog wat weet te zeggen over deze poort.

dinsdag 3 februari 2004 23:41

Acties:

Verwijderd

doe dan eerst eens netstat -ntplou en kijk of er niet toevallig een proces op deze poort draait.

edit:

lsof | grep UDP | grep 11822 kan ook wellicht nuttige info opleveren

[ Voor 32% gewijzigd door Verwijderd op 03-02-2004 23:43 ]

woensdag 4 februari 2004 06:45

Acties:

mcl

Topicstarter

Verwijderd schreef op 03 februari 2004 @ 23:41:
doe dan eerst eens netstat -ntplou en kijk of er niet toevallig een proces op deze poort draait.

edit:
lsof | grep UDP | grep 11822 kan ook wellicht nuttige info opleveren

Bedankt voor je reactie, r3boot.
Zowel netstat als lsof laten niets zien dat op deze poort zou draaien.
Net weer even m'n logfiles bekeken, en sinds gisterenochtend 8 uur is de melding nog maar ca 100 keer voorgekomen. Veel minder dan normaal...

3 februari 2004:
Afbeeldingslocatie: http://www.xs4all.nl/~mcl/frequentie.jpg

Afbeeldingslocatie: http://www.xs4all.nl/~mcl/frequentie.jpg

Rondom dit tijdstip zijn er in m'n logfiles geen andere onverklaarbare meldingen te zien.

Het irriteert me echt mateloos dat ik er niet achter kan komen wat er aan de hand is!!!

woensdag 4 februari 2004 07:08

Acties:

mcl

Topicstarter

R3boot en LaLaLand, bedankt voor jullie reacties.

Ik ben er inmiddels achter wat er aan de hand is. Elke keer als ik mijn command-line overnet-client aan heb staan, verschijnen deze meldingen. Kennelijk een ongedocumenteerde poort die door overnet ergens voor gebruikt wordt.

Aangezien overnet prima werkt, ook zonder poort 11822, laat ik het maar zo. Misschien alleen nog een rule in m'n firewall aanpassen zodat 11822 niet gelogd wordt.

edit:

(en inderdaad laten lsof en netstat wel connecties zien als overnet draait...)

[ Voor 11% gewijzigd door mcl op 04-02-2004 07:09 ]

Pagina: 1

Reageer