Rare meldingen in logfile modem

doopy

Forum Gebruiker
Berichten
25
ik heb zinds vandaag opeens de logfile van de connectbox volstaan met deze meldingen iemand enig idee wat er aan de hand is?
internet hapert er ook door af en toe
0-06-2019 19:53:11noticeIllegal - Dropped INPUT packet: SRC=172.217.19.194 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 19:49:53noticePort Scan - FIN: SRC=172.217.218.156 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 19:49:02noticeGUI Login Status - Login Sucess from LAN interface; client ip=[192.168.178.144];CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 19:45:30noticeIllegal - Dropped INPUT packet: SRC=50.7.202.28 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 19:42:52noticePort Scan - FIN: SRC=192.229.233.50 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 19:42:12noticeIllegal - Dropped INPUT packet: SRC=172.217.20.110 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 18:43:20noticePort Scan - FIN: SRC=157.240.201.35 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 18:43:14noticeIllegal - Dropped INPUT packet: SRC=172.217.17.98 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:46:28noticePort Scan - FIN: SRC=192.0.73.2 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:46:15noticeIllegal - Dropped INPUT packet: SRC=172.217.168.227 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:37:54noticePort Scan - FIN: SRC=172.217.17.66 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:37:22noticeIllegal - Dropped INPUT packet: SRC=52.114.77.33 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:27:58noticePort Scan - FIN: SRC=172.217.17.66 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:27:11noticeIllegal - Dropped INPUT packet: SRC=31.13.64.16 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:09:49noticePort Scan - FIN: SRC=172.217.168.226 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:09:09noticeIllegal - Dropped INPUT packet: SRC=172.217.19.206 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:06:12noticePort Scan - FIN: SRC=104.24.24.106 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:06:11noticeIllegal - Dropped INPUT packet: SRC=172.217.17.110 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 17:00:36noticePort Scan - FIN: SRC=52.31.235.53 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
10-06-2019 16:59:10noticeIllegal - Dropped INPUT packet: SRC=52.114.128.9 MAC=00:A2:89:26:70:19;CM-MAC=90:5c:44:fd:5a:c7;CMTS-MAC=00:a2:89:26:71:da;CM-QOS=1.1;CM-VER=3.0;
 
Alleen dit zijn geen T3 timeouts, maar lijkt meer op melding van een gedetecteerde portscan. Daar merk je doorgaans helemaal niet van.
Lijkt me sterk dat je daar last van hebt. Wat voor haperingen bedoel je, en zijn die haperingen exact op de tijden die in de log staan vermeld?
 
Jazeker ik kijk IPTV en precies op het moment van de logfiles gaat het beeld haperen. Zie niets bijzonders kwa speedtests die halen gewoon volle snelheid.
 
Ik neem aan dat je connect box ook als router dient (dus niet in bridge mode staat)?
Probeer eens de 'port scan' en 'block fragmented packets' en 'flood protection' uit te zetten in het modem, als die nog aanstaan.
Staat volgens mij standaard ook uit maar weet ik niet zeker.
Gewoon om te kijken of het daar iets mee te maken heeft. Vervolgens kan je het 1 voor 1 aanzetten. Kan verder weinig kwaad.

En welke versie firmware staat er bij jou op? Misschien is er net nieuwe firmware uitgerold die het probleem veroorzaakt.
Zie daarvoor: https://ziggoforum.nl/topics/connectbox-firmware-updates-compal-arris.92745/
 
Daar is al een draadje over. ;)

Nee, dat gaat over een andere melding die ook nog "Critical" is. Zo'n critical melding moet je direct aanpakken. Hier betreft het een "notice" melding. Dit is een veel lagere ernstigheid die je in principe kunt negeren. Portscans gebeuren de hele dag als er iets aan het internet hangt.
 
Niets bijzonders. En voor de goede orde:

CM-MAC=Cable Modem (Compal Broadband Networks, Inc. / via MAC and OUI lookup)
CMTS-MAC=Cable Modem Termination System (Cisco Systems, Inc)
CM-QOS=Cable Modem Quality Of Service (version 1.1)
CM-VER=Cable Modem Version (version 3.0)
MAC=Media Access Control address
SRC=Source IP address (comms origin)

En ik weet bijna zeker (from the top of my head) dat ik bekende IP adressen terug zie die helemaal geen bijzondere/kwaadwillige "port scan" van enige betekenis zijn.

Wil je het zelf controleren kijk hier dan maar eens na:

https://www.abuseipdb.com/check/172.217.17.66 (Google LLC)

Veel plezier ;)
 
Dat had ik natuurlijk ook wel gezien, maar ik wilde de TS alleen geruststellen dat er niets ernstigs, qua port scans, aan de hand is. Met wat handige aanvullende informatie.

Wat mij opviel is dat de TS (product tester) een incompleet profiel heeft, en dus weten wij hier dus ook helemaal niets over eventuele randapparatuur achter het modem. Daarnaast zegt de term "IPTV" niets zonder aanvullende informatie. Voor mij zegt die logfile niets over onderliggende problemen.

N.b. De hierboven getoonde CM-MAC address info is in het verleden misbruikt om modems te clonen, dus die UAA info kan je beter niet publiekelijk delen.
 
…internet hapert er ook door af en toe

Het kan ook andersom zijn. De logregels ontstaan door het haperende internet.

De Ubee routers laten ook vaak een poortscan op poort 53 zien in het log. Dat heeft er blijkbaar mee te maken dat een dns reactie soms te laat komt, waardoor de Ubee dit als een onafhankelijke benadering van poort 53 ziet.
 
Terug
Bovenaan