Beantwoord

Port scans op mijn firewall van Ziggo DNS server?

  • 15 februari 2017
  • 13 reacties
  • 1500 keer bekeken

Sinds kort bekijk ik mijn firewall logs op de Technicolor modem/router (moet één van de nieuwste modellen zijn omdat hij recent vervangen is).
Het valt mij op dat er twee IP adressen van Ziggo constant terugkomen in de log onder:
Denial of service
TCP- or UDP-based Port Scan DETECTED on Wed Feb 15 13:40:10 2017
targeting "MY IP",51312, sent from 84.116.46.20,53

84.116.46.21 komt ook voor met precies hetzelfde.
Ik vind dit gek. Waarom doet Ziggo (Oostenrijk??) met zijn DNS servers regelmatig een port scan bij mij?

Kan iemand binnen Ziggo dit uitzoeken en mij het exacte antwoord geven?
Een chat met één van de Ziggo collega's heeft niks opgeleverd behalve een verwijzing naar deze community.
icon

Best beantwoord door level4 16 februari 2017, 14:04

Hopelijk is dat wantrouwen dan nu weggenomen, de uitleg klopt iig.

Verder is de latency naar die DNS servers heel laag (8ms hier), dus functioneel kan het prima ondanks de afstand.
Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

13 Reacties

TCP- or UDP-based Port Scan 100 Tue Jul 25 13:22:35 2017 217.62.96.255:64441 84.116.46.21:53 heb ook een beetje last van 100 keer maar vandaag
@suzanjeroen
Kun je deze logs hier plaatsen?
ik krijg ook meerdere keren per dag in mijn log meldingen van mijn firewall van 84.116.46.20,53 of 84.116.46.21,53. Wat ik als vreemd ervaar zijn de tijdstippen dat ik deze meldingen ontvang en de verschillen in de hoeveelheid per dag (soms 2x, soms 3x en soms 4x). De tijden zijn soms midden in de nacht om 02.00, 04.00 of bv 06.00 terwijl ik op dit soort tijden een zekerheid heb en dat is dat ik slaap en alle devices ook in sleep modus staan.......
Ah nog meer antwoorden. Hier kan ik nog eens wat mee. Had ik kunnen raden overigens als IT'er zijnde.
Als het vooral als een port scan geïnterpreteerd kan worden wanneer er veel DNS requests zijn dan vraag ik mij toch weer iets anders af.
Namelijk wat doet er dan zoveel requests?
Aangezien het ook vaak voorkomt als er niemand thuis en ik weet dat ik zelf niks heb lopen aan downloads oid. Er staan wel altijd wat apparaten aan zoals iot devices, iPad en een RPi3 met Kodi maar die zouden in rust toch nooit zoveel moeten doen aan DNS requests zou je zeggen.
Ik ga maar eens in logs snuffelen om te zien wat er dan gaande is op die momenten.
De Ziggo DNS servers maken gebruik van anycast, net als de Google DNS. Dat het IP in Oostenrijk lijkt te zitten is gebaseerd op de RIPE registratie. In werkelijkheid reageert de dichtstbijzijnde DNS server.

Wat jij ziet in de firewall log is precies wat Thijs zegt. Als je veel DNS lookups doet wil het nog wel eens zijn dat de responses van de DNS server geïnterpreteerd worden als een portscan terwijl het gewoon valide antwoorden zijn op gedane lookups.

Niks aan de hand.
Reputatie 7
Bedankt voor je toevoeging, level4. @ Microsaft Heb het niet bewust genegeerd, dacht dat je alleen ongerust was over de portscan meldingen.
Reputatie 7
Badge +1
Hopelijk is dat wantrouwen dan nu weggenomen, de uitleg klopt iig.
Verder is de latency naar die DNS servers heel laag (8ms hier), dus functioneel kan het prima ondanks de afstand.
Wellicht niet. Maar logisch is anders. Ik verwacht niet dat mijn primaire DNS servers zo ver weg liggen. Een klein beetje uitleg had dan wel op zijn plaats geweest. Juist de locatie maakt mij zo wantrouwend.
Reputatie 7
Badge +1
Negeer je nou opzettelijk twee keer mijn opmerking over dat het IP in Oostenrijk uitkomt? Volgens mij was dat toch een wezenlijk onderdeel van mijn vraag.

De twee primaire DNS servers zijn onderdeel van / zitten in het netwerk van UPC Austria. Daar is toch niet zoveel byzonders aan te vermelden ?
Negeer je nou opzettelijk twee keer mijn opmerking over dat het IP in Oostenrijk uitkomt? Volgens mij was dat toch een wezenlijk onderdeel van mijn vraag.
Reputatie 7
Ik gebruik waarschijnlijk omdat het ook zou kunnen komen door een vertraagde reactie van de DNS op een eerder verzoek. Die wordt dan onterecht door je modem/router als inkomende portscan gezien. Onze DNS server valt jou dus verder niet lastig.
Hoi Thijs,

Bedankt voor je antwoord.
Met de term 'waarschijnlijk' maak je me niet echt gerust. Daarnaast blijf ik met de vraag zitten waarom een DNS server in Oostenrijk mij lastig valt. Ik kan mij niet voorstellen dat ik zelf mijn requests daar aflever. Dat kan de snelheid nooit ten goede komen lijkt mij.

Zou je dit toch nog dieper willen (laten) uitzoeken?

Gr Mike
Reputatie 7
Hoi Microsaft,

Hier hoef je je geen zorgen om te maken. Het is waarschijnlijk een reactie van de DNS server op een resolve request welke niet goed wordt geïnterpreteerd.