Forum

anormal trafik
 
Bildirimler
Hepsini Temizle

anormal trafik

3 Yazılar
2 Üyeler
0 Reactions
555 Görüntüleme
(@RustuATMACA)
Gönderiler: 14
Eminent Member
Konu başlatıcı
 

2011-03-14 16:36:35 log_id=0022000003 type=traffic subtype=violation pri=warning status=deny vd="root" src=91.93.1xx.xx srcname=91.93.1xx.xx src_port=561 dst=10.56.50.16 dstname=10.56.50.16 dst_port=137 service=137/udp proto=17 app_type=N/A duration=0 rule=0 policyid=0 identidx=0 sent=0 rcvd=0 shaper_drop_sent=0 shaper_drop_rcvd=0 perip_drop=0 shaper_sent_name="N/A" shaper_rcvd_name="N/A" perip_name="N/A" vpn="N/A" src_int="wan1" dst_int="internal" SN=56141 app="N/A" app_cat="N/A" user="N/A" group="N/A" carrier_ep="N/A"

 

fortigate 80c üzerinde trafik log bölümünde yukarıdaki loglar düşmekte. burada ki 91.93.1xx.xx ip adresi direk fw'nin kendi ip adresi.bunun gibi local network üzerinden de aynı ip adresine (10.56.50.16) istekler görünmekte. networkte 10.56.50.0/24 bloğu bulunmamakta. bu trafiklerin nedeni hakkında fikri olan varmıdır. 

 
Gönderildi : 14/03/2011 19:37

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

10.56.50.16 dst_port=137 bu kısım üzerine yoğunlaşın

 
Gönderildi : 15/03/2011 13:00

(@RustuATMACA)
Gönderiler: 14
Eminent Member
Konu başlatıcı
 

10.56.50.16 dst_port=137   bu kısma yoğunlaştım . ama merak ettiğim networkteki pclerin bu trafiğini anlasamda fortigate'ın kendisi nasıl bu trafiği ürettiği.

 
Gönderildi : 15/03/2011 14:20

Paylaş: