Thread Info
  • State Not Answered
  • +2 person also asked this people also asked this
  • Locked Locked
  • Replies 4 replies
  • Subscribers 5 subscribers
  • Views 9679 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscan detected google DNS ?

Alphatec
Guten Morgen,

Heute Nacht wurde ich gerade zu bombardiert von der UTM:

A portscan was detected. Details about the event:

Time.............: 2014-06-16 01:13:17

Source IP address: 8.8.8.8 (google-public-dns-a.google.com)


Normalerweise führt ein DNS-Server ja keinen Portscan durch, muss ich mir jetzt Sorgen machen oder reagiert die UTM hier etwas überempfindlich ?


This thread was automatically locked due to age.
  • 0

    Hallo,

     

    hat jemand noch das gleiche Problem? Bekomme auch seit Tagen immer die Mail das die Google DNS Server Portscans machen.

     

    Dadurch fliegt bei uns immer die IP-Telefonie weg und die Leitung ist auch immer dann weg.

     

    Würde mich sehr über eurer Hilfe freuen.

  • 0 in reply to sala82

    Ich würde sagen es ist kein Zufall, sofern Du Google als DNS Server benutzt, dass die Anfragen von Google stammen. Dies scheint einer gewissen Logik zu folgen.
    Hier ein Auszug aus dem IPS Log, wobei das Paket vom DNS Server unseres Providers (QSC) stammt.

    2017:04:27-09:39:33 gate-1 ulogd[14139]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="xx:xx:xx:xx:xx:xx" dstmac="xx:xx:xx:xx:xx:xx" srcip="212.202.215.2" dstip="xxx.xxx.xxx.xxx" proto="17" length="124" tos="0x00" prec="0x00" ttl="61" srcport="53" dstport="36330"

    Eine Erklärung habe ich dafür momentan leider nicht, außer die Vermutung, dass dies ein Problem der UTM sein könnte.

    -

  • 0 in reply to Alexander Busch

    Hat sonst wirklich keiner dieses Problem?

    Bin heute wieder über so einen Eintrag gestolpert.

    019:08:23-10:23:00 gate-2 ulogd[10840]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="ppp0" mark="0x307c" app="124" srcip="1.1.1.1" dstip="unsere öffentliche IP" proto="17" length="82" tos="0x00" prec="0x00" ttl="58" srcport="53" dstport="50706"

    -

  • 0 in reply to Alexander Busch

    Hallo Alex,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    My guess is that some hacker is sending queries to 1.1.1.1 and spoofing your IP as the sending IP.  Are you certain that it's not one of your devices sending so many name resolution requests?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML