• Let op: Dit is het archief van het Provider Forum. De berichten die je hier ziet zijn gedateerd en er kan niet meer op worden gereageerd.

Modem Firewall Denial of Service Log

  • Onderwerp starter Onderwerp starter FrankV
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
F

FrankV

Hoi,

Ik gebruik al geruimte tijd Ziggo Internet en heb op 20 juli even de stroom van het modem afgehad. Ik krijg sinds ca 20 juli verschillende meldingen van het modem, met als tekst
TCP- or UDP-based Port Scan DETECTED on <datum tijd> targeting 217.121.xx.xx,51093, sent from 212.54.44.54,53


  • target poorten verschillen,
  • poort van Ziggo server altijd gelijk (53), van overige servers verschillen
  • Server verschilt:
    • 212.54.44.54 (ziggo)
    • 212.54.40.25 (ziggo)
    • 62.75.207.57
    • 88.150.200.35
  • Poortscans zijn volgens de log meerdere keren (soms paar honderd pogingen)
  • Gemiddeld 4 email notificaties per dag,
Portscans ben ik nooit zo blij mee, dus ben er wat ingedoken.
Eerste keer helpdesk bellen werd mij verteld dat het idd niet normaal is, maar een "instellingsprobleem" van de server 212.54.44.54 moet zijn (server van Ziggo).
Het probleem bleef aanhouden dus heb ik eind juli nog eens gebeld met de helpdesk, waarbij mij aangegeven werd dat het probleem toch echt bij mij zit, en ik het password van de WIFI maar eens moest wijzigen en een virusscanner draaien.
Welnu, dat heeft natuurlijk weinig zin aangezien de scans voor mij inkomend zijn en niet uitgaand.
Maar ok, om de discussie uit te sluiten ben ik op vakantie gegaan en daarbij alléén het modem aangelaten.
Daarbij kwamen nog steeds de meldingen in mijn mailbox binnen, echter nu slechts enkele keren in plaats van x-keer per dag.

Set up:

  • Ziggo Cisco modem,
  • WIFI disabled op ziggo modem,
  • Geen devices aangesloten, slechts één (reeds lang gebruikt) Linksys router waarop mijn netwerk aangesloten is.
  • In het ziggo modem heb ik MAC-filtering toegepast (er is dus alléén connectie toegestaan met mijn router)
  • Ingesteld: reporting -> email alerts

Tijdens de vakantie was ook de Linksys router buiten gebruik. Dus echt alléén het modem aangesloten. Echt alles stond uit en ik was ver hier vandaan :)

Portscan meldingen bleven echter ook toen komen maar in veel lagere frequentie.

Vandaag heb ik een netwerksniffer mee laten draaien, maar de portscan meldingen blijven op willekeurige momenten komen.
Ook komen ze op het moment dat er verschillende apparaten een internet verbinding maken. (tijd van de email alert vergeleken met de sniffer-log).
Bijvoorbeeld op het moment dat de Humax IHDR (ethernetkabel) "iets" doet, of mijn TV (ethernetkabel), of mijn Android smartphone, of mijn pc, Syno NAS, of.....

Ik heb geen idee wat hier nu aan de hand kan zijn, en waarom de servers van Ziggo mijn IP-adres scannen.
Het enige dat ik kan verklaren is dat ik rond de 20e juli de spanning eraf gehad heb en daardoor een nieuw IP-adres gekregen heb.
Echter ik heb nu ook het modem een nacht de stroom eraf gehad, maar geen nieuw IP-adres gekregen dus ik kan het er niet mee uitsluiten.

Kan iemand mij vertellen wat hier nu aan de hand is?
 
is het een cisco modem, cisco router of cisco router in bridge mode?
wat je ziet zijn zg unestablished connections van de DNS server ( poort 53 ). even in jip en janneke taal:
door sterke vertragingen of verloren gegane pakketjes komt een antwoord van de dns server op een moment dat de router de moed al heeft opgegeven. dit wordt geregeld door een timeout in de router, gewoonlijk staat die voor dns pakketjes ergens tussen de 60 en 120 seconden. zo'n onverwacht aantwoord wordt door de router dan gezien als een ongewenst poortscan pakketje en dus gerapporteerd.
dit is niet iets om je direct zorgen over te maken, maar als dit vaak voorkomt zit er toch ergens iets niet goed. zeker als het een cisco modem of cisco router in bridge mode is, controleer dan eens de kabel tussen dat ding en je eigen router. kijk ook eens op de modem docsis pagina naar het aantal correctables/uncorrectables, t3 en t4 errors. zijn de signaalnivo's in orde? kun/wil je die hier posten?
 
Laatst bewerkt door een moderator:
Dit zijn vermoedelijk meldingen uit het log van je modem ?
Je schreef dat je die meldingen via email kreeg ?
Kun je je soms in je modem instellen dat je emails moet krijgen bij bepaalde meldingen in het log van modem ? (Ik heb dit modem niet dus kan het zelf niet controleren).

Na het rebooten van je modem zou er nieuwe software op gekomen kunnen zijn waarbij de log-alarm anders staat dan vroeger ?

De meldingen op zich zijn niets om je druk om te maken, het gaat niet om je wifi poort, maar om je wan-poort. En poortscans zijn een heel normaal verschijnsel en niet iets om je druk om te maken. Het gebeurt vrijwel continue door botnets om te kijken welke poorten openstaan. Vervolgens worden de open poorten dan aangevallen. Maar als je firewall en antivirus op de naar je pc geforwarde poorten normaal zijn werk doet heb je daar geen last van. De routerfunctie in het modem zorgt ervoor dat de poortscans alleen aan de buitenkant van je netwerk blijven.

Je kunt beter de meldingen uit zetten of sommige soorten uitzetten zodat je niet onnodig ongerust gemaakt wordt.
 
is het een cisco modem, cisco router of cisco router in bridge mode?

Hi Peter,
Modem staat router mode, dus geen bridged.
Het is een Cisco EPC3928AD EuroDocsis 3.0 2-PORT Apps Voice Gateway

wat je ziet zijn zg unestablished connections van de DNS server ( poort 53 ). even in jip en janneke taal:
door sterke vertragingen of verloren gegane pakketjes komt een antwoord van de dns server op een moment dat de router de moed al heeft opgegeven. dit wordt geregeld door een timeout in de router, gewoonlijk staat die voor dns pakketjes ergens tussen de 60 en 120 seconden. zo'n onverwacht aantwoord wordt door de router dan gezien als een ongewenst poortscan pakketje en dus gerapporteerd.
Ok, maar fysiek zit het zo in elkaar:
ziggo->modem ziggo->router Linksys E4200->netw device.
De router die het pakket verstuurt, bedoel je dan de Cisco of de Linksys?

Als het een DNS-kwestie zou zijn, dan zou ik het toch ook moeten zien in de up/DL snelheid? Op zich is mijn verbinding (ogenschijnlijk) stabiel en haal met speedtest.net prima waarden. 90/8 wordt prima gehaald.

Andersom is het zo, dat als ik het "scan-ipadres" zelf ping, deze waarden goed zijn. Dus geen tijden >50ms ofzo.
Traceren van de route naar dns.mnd.iss.as9143.net [212.54.44.54]
via maximaal 30 hops:

1 <1 ms <1 ms <1 ms ROUTER [192.168.1.1]
2 1 ms <1 ms <1 ms 192.168.178.1
3 5 ms 6 ms 7 ms 10.202.108.1
4 15 ms 6 ms 6 ms zl-rc0001-cr102-irb-202.core.as9143.net [213.51.
137.225]
5 13 ms 7 ms 7 ms zl-rc0001-cr101-ae1-200.core.as9143.net [213.51.
158.148]
6 10 ms 30 ms 12 ms asd-tr0042-cr101-ae3-0.core.as9143.net [213.51.1
58.100]
7 12 ms 12 ms 11 ms mnd-rc0001-cr101-ae0-0.core.as9143.net [213.51.1
58.3]
8 13 ms 13 ms 12 ms 213.51.128.4
9 20 ms 13 ms 14 ms dns.mnd.iss.as9143.net [212.54.44.54]
De trace is voltooid.

Een graphical ping met de good-old Look@lan van mijn pc/via router naar modem ziet er denk ik ook goed uit:
Min: 000 [ms]
Max: 016
Avg: 001
TOut: 00 [aantal]

dit is niet iets om je direct zorgen over te maken, maar als dit vaak voorkomt zit er toch ergens iets niet goed. zeker als het een cisco modem of cisco router in bridge mode is, controleer dan eens de kabel tussen dat ding en je eigen router. kijk ook eens op de modem docsis pagina naar het aantal correctables/uncorrectables, t3 en t4 errors. zijn de signaalnivo's in orde? kun/wil je die hier posten?
De waarden uit het modem staan hieronder - zover ik kan ziet dat er goed uit toch?
Eén T4 melding,
Uncorrectables op 0.

Hij staat dus niet in bridged, maar het is toch wel erg vervelend dat die portscan meldingen komen.
Zeker gezien het feit dat ik er eerder helemaal géén meldingen had, en nu 50 meldingen sinds 20/7/2014 (tijdens de vakantie slechts enkelen per week, gisteren 5, vandaag 4).
Dat betekent toch dat er iets fout moet zitten....?

DOCSYS:
Channel 1: Channel ID: 39 Downstream Frequency: 353000000 Hz Modulation: 256 QAM Power Level: -1.0 dBmV Signal to Noise Ratio: 41.4 dB MER: 0.0 dB Correctable FEC: 3 codewords Uncorrectable FEC: 0 codewords Channel 2: Channel ID: 33 Downstream Frequency: 305000000 Hz Modulation: 256 QAM Power Level: -2.0 dBmV Signal to Noise Ratio: 40.9 dB MER: 0.0 dB Correctable FEC: 4 codewords Uncorrectable FEC: 0 codewords Channel 3: Channel ID: 34 Downstream Frequency: 313000000 Hz Modulation: 256 QAM Power Level: -1.8 dBmV Signal to Noise Ratio: 41.3 dB MER: 0.0 dB Correctable FEC: 6 codewords Uncorrectable FEC: 0 codewords Channel 4: Channel ID: 35 Downstream Frequency: 321000000 Hz Modulation: 256 QAM Power Level: -2.1 dBmV Signal to Noise Ratio: 40.7 dB MER: 41.4 dB Correctable FEC: 13 codewords Uncorrectable FEC: 0 codewords Channel 5: Channel ID: 36 Downstream Frequency: 329000000 Hz Modulation: 256 QAM Power Level: -1.9 dBmV Signal to Noise Ratio: 40.8 dB MER: 41.4 dB Correctable FEC: 17 codewords Uncorrectable FEC: 0 codewords Channel 6: Channel ID: 37 Downstream Frequency: 337000000 Hz Modulation: 256 QAM Power Level: -1.4 dBmV Signal to Noise Ratio: 40.6 dB MER: 41.4 dB Correctable FEC: 10 codewords Uncorrectable FEC: 0 codewords Channel 7: Channel ID: 38 Downstream Frequency: 345000000 Hz Modulation: 256 QAM Power Level: -1.3 dBmV Signal to Noise Ratio: 40.4 dB MER: 41.4 dB Correctable FEC: 4 codewords Uncorrectable FEC: 0 codewords Channel 8: Channel ID: 40 Downstream Frequency: 361000000 Hz Modulation: 256 QAM Power Level: -0.9 dBmV Signal to Noise Ratio: 40.9 dB MER: 41.4 dB Correctable FEC: 5 codewords Uncorrectable FEC: 0 codewords
Upstream Channels




Channel1: Channel ID:2 Upstream Frequency:44500000 Hz Modulation:64 QAM Bit Rate:30720 kBits/sec Power Level:40.0 dBmV Channel2: Channel ID:1 Upstream Frequency:52000000 Hz Modulation:64 QAM Bit Rate:30720 kBits/sec Power Level:40.0 dBmV Channel3: Channel ID:3 Upstream Frequency:36000000 Hz Modulation:64 QAM Bit Rate:30720 kBits/sec Power Level:40.0 dBmV Channel4: Channel ID:4 Upstream Frequency:58800000 Hz Modulation:64 QAM Bit Rate:30720 kBits/sec Power Level:40.0 dBmV Statistics

T3Timeouts: 0 timeouts T4Timeouts: 1 timeouts
 
Beste Cees, bedankt voor je reply,

Dit zijn vermoedelijk meldingen uit het log van je modem ?
Klopt,

Je schreef dat je die meldingen via email kreeg ?
Klopt,

Kun je je soms in je modem instellen dat je emails moet krijgen bij bepaalde meldingen in het log van modem ? (Ik heb dit modem niet dus kan het zelf niet controleren).
Dat klopt, dat is de instelling die ik bij de settings noemde.
Alléén de instelling de instelling "email notificatie" is in te stellen, niet zozeer wat.


Na het rebooten van je modem zou er nieuwe software op gekomen kunnen zijn waarbij de log-alarm anders staat dan vroeger ?
Was dat maar zo :) Firmware is van 2013.
epc3928a-E10-5-v302r125572-131030c-ZIG.bin

De meldingen op zich zijn niets om je druk om te maken, het gaat niet om je wifi poort, maar om je wan-poort. En poortscans zijn een heel normaal verschijnsel en niet iets om je druk om te maken. Het gebeurt vrijwel continue door botnets om te kijken welke poorten openstaan. Vervolgens worden de open poorten dan aangevallen. Maar als je firewall en antivirus op de naar je pc geforwarde poorten normaal zijn werk doet heb je daar geen last van. De routerfunctie in het modem zorgt ervoor dat de poortscans alleen aan de buitenkant van je netwerk blijven.

Je kunt beter de meldingen uit zetten of sommige soorten uitzetten zodat je niet onnodig ongerust gemaakt wordt.
Ik snap je opmerking, bij mij staat poort 80 open. Ik denk niet dat daar iets op gebeurd, omdat ik de webserver nog niet heb ingesteld - slechts een 2-regelig tekst regeltje :)
Maar het blijft natuurlijk wel vreemd aangezien ik die meldingen eerder niet had en nu wel.
Volgens de helpdesk moest ik mijn netwerk maar eens controleren op virussen, maar daar zit het niet in.

UPDATE/Overigens: tijdens het overnemen van gegevens blijkt dat ik het modem plotseling niet (meer) kon benaderen via de webinterface. Of dat toeval is weet ik niet, maar ik heb het modem maar opnieuw spanningsloos gemaakt.
Na het opstarten zie ik dezelfde melding terug:

TCP- or UDP-based Port Scan 54 Mon Aug 18 21:21:13 2014 217.121.xx.xx:55749 212.54.44.54:53

Dat lijkt mij haast geen toeval meer?!
 
@PetervdM: Bij Jip & Janneke taal moet elke elke zin op een nieuwe regel beginnen en niet langer zijn dan één regel. Ook de grammatica moet begrepen kunnen worden door leerlingen uit groep 4. Bij jou is de grammatica, door de complexe zinsopbouw, veel te ingewikkeld voor Jip & Janneke.
Maar voor mensen met een betere grammaticabeheersing was dat wél duidelijke taal. :)
Dat verklaart dezelfde scans die ook op de Ubee verschijnen.

@FrankV: Maar nu terug naar de portscans op poort 53: Zoals Peter boven schrijft is dit normaal en ik heb het altijd voor een bug in de firewall gehouden dat hij hier op reageerde. Ik heb zelf geen Cisco, maar op de Ubee gebeurt hetzelfde. En niet alleen vanuit de Ziggo DNS server, maar vanuit alle DNS servers. Als ik op 1 computer Google als DNS server instel, en op de andere computer OpenDNs en weer een andere Ziggo, dan komen die poortscans vanuit al die DNS servers. Dus moeten die scans te maken hebben met het gebruik van de DNS servers en dus moet het een reguliere actie zijn die de firewall verkeerd interpreteert.

Over de frequentie van de e-mail notification kan ik weinig zeggen. Op de Ubee kun je hem aanzetten, maar daar krijg je niet voor elke melding een mailtje. Bij gelijksoortige meldingen als de vorige, stuurt hij geen mailtjes. Tenzij er een lange tijd geen melding meer verstuurd is, dan stuurt hij wel weer een. De precieze frequentie heb ik nooit uitgevogeld. Ook in het locale log komt niet elke melding te staan, maar wordt alleen een teller opgehoogd.
Als er b.v. een ziggo, google en dan een opendns portscan is, wordt alleen de laatste in het log vermeld, met de teller op 3x.
De Ubee heeft echter ook de optie van remote logging, welke ik gebruik. Dan wordt echt elke detectie naar een syslogserver gestuurd.

Van de Ziggo helpdesk valt me dit antwoord tegen. Zo als Peter de reden boven beschrijft, zou deze melding eigenlijk bij alle routers van Ziggo met enige regelmaat moeten voorkomen. In elk geval op de Ubee en Cisco routers. En omdat dit een verontrustende melding is, moet een helpdesk hier een geruststellend antwoord op kunnen geven en niet de klant bang maken met mogelijke besmettingen in thuisnetwerken.
 
Laatst bewerkt door een moderator:
is het een cisco modem, cisco router of cisco router in bridge mode?
wat je ziet zijn zg unestablished connections van de DNS server ( poort 53 ). even in jip en janneke taal:
door sterke vertragingen of verloren gegane pakketjes komt een antwoord van de dns server op een moment dat de router de moed al heeft opgegeven. dit wordt geregeld door een timeout in de router, gewoonlijk staat die voor dns pakketjes ergens tussen de 60 en 120 seconden. zo'n onverwacht aantwoord wordt door de router dan gezien als een ongewenst poortscan pakketje en dus gerapporteerd.
dit is niet iets om je direct zorgen over te maken, maar als dit vaak voorkomt zit er toch ergens iets niet goed. zeker als het een cisco modem of cisco router in bridge mode is, controleer dan eens de kabel tussen dat ding en je eigen router. kijk ook eens op de modem docsis pagina naar het aantal correctables/uncorrectables, t3 en t4 errors. zijn de signaalnivo's in orde? kun/wil je die hier posten?
Als je in de firewall "Port scan detectie" hebt aanstaan krijg je dit soort meldingen. Scans zijn heel normaal.
Ziggo servers scannen, maar ook veel andere servers, zoals in het verleden de server waarop dit forum draait. Google DNS doet het ook.
Als je dus verbindt met zo'n server krijg je vaak een poort scan.
Je eigen router doet dit trouwens ook in je interne netwerk.
Zolang je maar zorgt dat er geen verbinding kan worden opgebouwd naar je netwerk, is er niets aan de hand.
Je hebt twee routers in serie. Zorg dat je ook in de tweede router de goede instellingen hebt, dan heb je nog meer zekerheid.
Wil je extra instellingen hebben, dan zou je DD-WRT kunnen installeren op je tweede router. Ik weet niet of DD-WRT daarop wordt ondersteund, maar misschien is dat een optie.
Ik heb met Ubee en DD-WRT een soortgelijke opstelling en heb zowel in de Ubee en de DD-WRT de maximale blokkeringen ingesteld. Alleen poorten die ik gebruik, zijn beschikbaar. De rest zit potdicht.
 
Dank allen voor de reacties.

Maar ik blijf het vreemd vinden - eerst helemaal geen portscan meldingen, en daarna om de klip-klap door de ziggo server.

Ik krijg dus nog steeds continu deze portscan meldingen sinds juli dit jaar, daarvoor niet en uitsluitend afkomstig van de Ziggo server.

Het zijn ook geen scans (zoals eerder aangegeven) op mijn DNS-poort, maar wel afkomstig van een server op de DNS-poort.

Misschien maar eens vragen om een ander IP-adres, want dat is het enige dat ik kan voorstellen....
Alleen dan even uitvinden hoe ik een ander /nieuw IP adres kan krijgen in het Ziggo modem?
 
Het zijn ook geen scans (zoals eerder aangegeven) op mijn DNS-poort, maar wel afkomstig van een server op de DNS-poort.

Als jouw PC een DNS aanvraag doet dan doet hij dat initieel via poort 53, maar zodra die verbinding staat, schakelt hij over op een andere poort, zodat de dns poort weer vrij is. Anders zou een andere PC op jouw netwerk geen dns aanvraag kunnen doen omdat poort 53 bezet is. (een poort kan maar 1 maal open zijn).
Het is dus heel normaal dat de DNS server zich terugmeld op zo'n hoog poortnummer die hij eerder van jouw PC heeft gekregen..
 
Dank allen voor de reacties.

Maar ik blijf het vreemd vinden - eerst helemaal geen portscan meldingen, en daarna om de klip-klap door de ziggo server.

Ik krijg dus nog steeds continu deze portscan meldingen sinds juli dit jaar, daarvoor niet en uitsluitend afkomstig van de Ziggo server.

Het zijn ook geen scans (zoals eerder aangegeven) op mijn DNS-poort, maar wel afkomstig van een server op de DNS-poort.

Misschien maar eens vragen om een ander IP-adres, want dat is het enige dat ik kan voorstellen....
Alleen dan even uitvinden hoe ik een ander /nieuw IP adres kan krijgen in het Ziggo modem?

Dit zijn geen portscans en is afkomstig van een vertrouwde server van ziggo. Ik snap je probleem niet. Er is je al een paar keer gezegd dat er vermoedelijk een bug in de software van het modem zit waardoor deze entries in het log komen.
Als je echt alle echte aanvallen zou zien die vrijwel continue plaatsvinden zou je blijkbaar helemaal niet meer slapen. Gelukkig worden die niet in jouw log geschreven :wink:
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan