Visa fullständig version : BBB kund med attack i brandväggen
Hej.
Har en kund som har BBB som ISP via ADSL
.
Deras brandvägg som är en Zyxel Zywall 5 får en massa loggningar.
Detta kommer ca 1ggr/min.
Time, Source IP, Destination IP, Note
2010-04-04 17:13:36 |192.168.1.1 |239.255.255.250 |ATTACK ip spoofing - WAN IGMP (W1 to W1/ZW)
Kunden har inte någon tjänst mer än internet och dessa loggningar har förekommit under väldigt lång tid.
IGMP är inte aktiverat i brandväggen.
Några tips för att slippa detta?
Om det här handlar om IPTV så undrar jag varför den trafiken passerar en brandvägg öht
239.255.255.250 är väl en multicast serie och om du blockar IGMP borde det vara svårt att se TV alls, den behöver även ha tillåtelse på trafik med UPD.
Förmodligen är det boxen som nytt begär nytt medlemskap i IGMP gruppen, om du gör den strömlös så borde frågorna upphöra.
Vet inte hur BBBs nät ser ut men det normala är att IPTV trafiken är helt separerad från det vanliga internät
Edit:
Google is your freand http://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol
Om det här handlar om IPTV så undrar jag varför den trafiken passerar en brandvägg öht
239.255.255.250 är väl en multicast serie och om du blockar IGMP borde det vara svårt att se TV alls, den behöver även ha tillåtelse på trafik med UPD.
Förmodligen är det boxen som nytt begär nytt medlemskap i IGMP gruppen, om du gör den strömlös så borde frågorna upphöra.
Vet inte hur BBBs nät ser ut men det normala är att IPTV trafiken är helt separerad från det vanliga internät
Edit:
Google is your freand http://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol
Som jag skrev så har kunden INTE mer än en ren internet access.
Det finns med andra ord ingen utrustning för att ta emot IP-TV.
Då jag vet att BBB har TV osv i sina nät och att IGMP har med multicast att göra så är det väl troligt att det är något IP-TV relaterat som BBB skickar ut.
Det har med UPnP att göra, antingen kör han/dom en dedikerad mediaserver eller det kan även vara WMP som det kommer ifrån
Det har med UPnP att göra, antingen kör han/dom en dedikerad mediaserver eller det kan även vara WMP som det kommer ifrån
Så du tror att det är någon utrustning på LAN som skickar UPnP trafik som orsakar dessa loggningarna?
Så om man i test syfte blockar all trafik LAN -> WAN och startar om brandväggen så ska det upphöra?
De har en WD-NetCenter inkopplad som NAS, kan den påverka detta?
Har ingen kännedom om just den NASen men många andra har ju media servrar inbyggda.
Behöver iofs inte vara en mediaserver utan det kan även vara en ren UPnP tjänst som annonserar sin närvaro för att den skall vara lätt att hitta i nätet.
Enklast är väl att koppla bort den och se om det upphör, om det gör det så är det bara att kolla vilka tjänster som snurrar på den
Har ingen kännedom om just den NASen men många andra har ju media servrar inbyggda.
Behöver iofs inte vara en mediaserver utan det kan även vara en ren UPnP tjänst som annonserar sin närvaro för att den skall vara lätt att hitta i nätet.
Enklast är väl att koppla bort den och se om det upphör, om det gör det så är det bara att kolla vilka tjänster som snurrar på den
Har kollat på NASen och där finns ingen som har med UPnP att göra.
Enligt BBB så skickas det ut IGMP trafik till alla kunder oberoende vilken tjänst kunden har.
Så det verkar inte vara så mycket att göra.
Kolla om det är UPnP aktiverat i routern, 192.168.1.1 är ju normalt en gateway adress.
Annars finns det hur mycket som helst att läsa här http://tinyurl.com/y98a5vn
Powered by vBulletin™ Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.