DoD (Department of Defence) Network Information Center pings op Ziggo UBEE321b

[m4v3r1ck]

Ook even op het Ziggo gebruikers forum uitgezet, maar wil het hier ook graag even proberen... 

Sinds twee dagen krijg ik onderstaande meldingen in mijn firewall log (UBEE321b), vooral de "source IP - 26.1.220.0" van het "Department of Defense Information Systems Agency (USA)" baart me zorgen. Iemand ervaring en/of een uitleg van deze firewall meldingen?. Ik heb deze zelf nooit gezien. Ziggo even gebeld en natuurlijk een fabrieksherstel moeten doen, zonder dat de medewerkster in wenste te gaan op de beide iP-adressen...



Department of Defense Information Systems Agency (USA)

Daarbij kwam na deze reset ook nog eens later de onderstaande melding van mijn Wifi 2.4GHz bij:



Department of Defense Information Systems Agency (USA)

Wat doen die source iP-adressen op mijn modem met een geheel ander target iP-adres dan die bij mij thuis, wordt mijn modem dan als sluis gebruikt?

Kan iemand mij uitleggen wat dit is? Alvast bedankt voor de info/hulp!

Cheers

[Briolet]

[off-topic]Je kunt dit log ook naar je nas sturen. Het is dan completer en de oude logregels vallen dan ook niet weg, zodat je veel verder terug kunt kijken. Ga in de Ubee naar de "Remote Log" pagina en vul daar het IP van je nas in. Op de nas ga je naar "Log Center" en stel de Syslog opties in. Ik log mijn Ubee al jaren.[/off-topic]

Was jij niet laats vliegtuigen aan het fotograferen op dat militaire vliegveld?

Vreemd is dat dit alles meldingen over poort 0 zijn. Beginnen de poortnummers niet bij 1?

[m4v3r1ck]

Bedankt voor je snelle reactie @Briolet !

SysLog ingesteld, dank voor de tip! Hoewel sinds een paar dagen geleden nooit echt de noodzaak gevoeld, omdat ik bij het checken van mijn UBEE nooit echt gekke dingen heb gezien...

Ik heb nooit 'spionage' foto's gemaakt op een militair vliegveld. 

Alle meldingen van de iP-adressen die met 26. beginnen gaan over poort "0". Ik heb niet de kennis om hier waarde aan te geven, wellicht kun je een korte uitleg geven?

Zoals eerder vermeld kun de support medewerkster niets zeggen over deze melding van iP-adressen in mijn UBEE, dus snel maar even een fabrieksherstel voorgesteld. Ik vind dit buitengewoon vreemd. Ik ben even op internet aan het zoeken en het schijnt dat ook mobiele telefoons de DoD pings ontvangen.

De DNS servers van Google en Ziggo komen op poort 53 binnen.

[Briolet]

De meest voorkomende meldingen in de Ubee zijn valse meldingen over poort 53. Dat zijn blijkbaar DNS terugmeldingen die te laat binnen komen waardoor ze als aanval gezien worden i.p.v. en reactie op een eerder verzoek.

Verder heeft de Ubee de bug dat alle Syslog meldingen het hoogste 'Alert' niveau hebben. Zelfs als je alle verbindingen zou loggen.

[m4v3r1ck]

Bedankt voor je uitleg. Adviseer je mij om toch maar even officieel een onderzoeksticket bij Ziggo aan te maken?

[Briolet]

Ook vreemd is het 'Target adres' in je log.

108.225.168.130 behoort toe aan AT&T in de VS

149.215.82.110 behoort toe aan ThyssenKrupp Marine Systems Gmbh in Duitsland.

Dus zowel de source als de destination liggen buiten jouw lan. Bij mij is de een altijd intern. Een IP van een van mijn macs, mijn 2e router of mijn wan-IP.  Als de source en destination buiten jouw netwerk liggen, waarom loopt dit dan via jouw Ubee?

-----

Over poort 0 vond ik het volgende:

The designers of the original Berkeley UNIX "Sockets" interface, upon which much of the technology and practice we use today is based, set aside the specification of "port 0" to be used as a sort of "wild card" port. When programming the Sockets interface, the provision of a zero value is generally taken to mean "let the system choose one for me". Programmers who specify "port 0" know that it is an invalid port. They are asking the operating system to pick and assign whatever non-zero port is available and appropriate for their purpose.
As a result of this programming convention, there has traditionally been no way for Internet Sockets programmers to generate or receive "port 0" Internet traffic. So port zero was set aside and never defined or used. Although times and technology have changed dramatically, port zero has remained something of an unexplored "no mans's land".

However, with the widespread and growing availability of operating systems offering the "Raw Socket" programming interface — which provides the means for deliberately generating port zero packets — the presence and security of "port zero" is of growing importance.

[Pippin]

Heb dit gevonden:
http://www.dslreports.com/forum/r25679029-Why-is-my-first-hop-to-a-DoD-assigned-IP-address
http://forums.anandtech.com/showpost.php?s=8adc6d0c0de5f0b80b2131f193052246&p=36553040&postcount=12
http://www.markturner.net/2011/11/08/why-is-the-defense-department-snooping-on-my-phone/

[m4v3r1ck]

Even maar een update! Ik ben nog eens gaan snuffelen in mijn UBEE321b van Ziggo.

Nog een keer met Ziggo gebeld, maar die geven aan geen interesse te hebben in deze data (iP-adressen) omdat Ziggo er toch niets mee kan doen. Zijn advies was het scannen op malware en/of virussen van elk OS die ik draai... Ik heb geen malware o.i.d. op geen van mijn OS. In Mac OS X draai ik geregeld Malwarebytes Anti-Malware. In Windows draai ik steeds de laatste versie ESET Smart Security.

Verder heb ik een paar keer mijn modem gereset om te kijken wanneer het iP-adres 26.0.62.0 voorkomt in mijn "Firewall Denial of Service Log". Het vreemde is dat als ik alle MAC adressen bekijk die zijn aangemeld op mijn modem, blijkt het mijn iPhone 6 Plus te zijn die zich eerst met iP-adres 26.0.62.0 aanmeld en later weer met zijn vaste iP-adres op mijn thuis netwerk:

Na herstart eerst het iP-adres 26.0.62.0





Als ik een refresh doe van mijn UBEE admin pagina in Chrome of opnieuw inlog blijkt het iP-adres weer de vastgestelde te zijn:



Ondertussen bellen we maar weer even met Ziggo...

Cheers
 

[Pippin]

Als je die links leest... het zou kunnen dat Ziggo die IP`s intern gebruikt.
Vandaar geen interesse ?

[m4v3r1ck]

Bedankt @MMD voor de links, we gaan eens lezen. Het komt dus waarschijnlijk door mijn iPhone. Zoals @Briolet ook al eerder aangaf is het vreemd dat er buiten mijn eigen netwerk om, dus iP-adressen met poort "0" door mijn modem gaan. Een van de externe targets van AT&T.

Gisteren heb ik een support ticket bij Ziggo achtergelaten. Ik ga nogmaals bellen met Ziggo. Keep you posted!

EDIT: wij hebben het Ziggo Family abbo (Vodafone netwerk) voor ons beider iPhones (6+en 4), echter alleen mijn iPhone heeft deze kuren...

iP-adres 26.0.62.0:0 (de laatste source - wederom - na de reboot van mijn modem)



iP-adres 121.3.98.55:0 (de laatste target na de reboot van mijn modem)


Cheers

[m4v3r1ck]

Vandaar geen interesse ?

Ga ik ook even vragen aan de support desk, ik hoop dat ik wordt doorverbonden met een 2e/3e lijns techie support medewerker...

Cheers

[Briolet]

Verder heb ik een paar keer mijn modem gereset om te kijken wanneer het iP-adres 26.0.62.0 voorkomt in mijn "Firewall Denial of Service Log".…
…blijkt het mijn iPhone 6 Plus te zijn die zich eerst met iP-adres 26.0.62.0 aanmeld

In het local log op de Ubee worden alleen de 'known internet attacks' gelogd. Als je een extern syslog server gebruikt kun je inderdaad veel meer loggen. b.v. alle geblokkeerde verbindingen, of gewoon alle verbindingen (erg lange lijst  )

Dat een apparaat zich eerst met een ander IP aanmeld is normaal. Alleen is dat doorgaans een link local adres. Maar misschien kiest je iPhone een IP uit de 26.0.x.x reeks. En dit IP triggered de firewall. Dan is het geen firewall fout, maar van de iPhone.

Maar dat moet dan toch bij veel meer iPhones uit die generatie gebeuren, lijkt me.

Uit de 2e link van MMD hierboven:

A commenter’s tip has solved the mystery of why my phone’s voice traffic is coming from an IP address owned by the Department of Defense. By entering the code *#*#INFO#*#*, I was able to pull up a hidden menu which shows the rogue IP address as assigned to my phone.
The Department of Defense is squatting on a massive number of IPv4 addresses and is not using most of it. Phone networks like Sprint are borrowing these IP addresses because their networks are larger than the 16 million hosts that the 10.x.x.x network can provide.
It looks, as another MT.Net visitor theorized, like Sprint is assigning the (unused) DoD IP addresses internally to its phones and then NATting the traffic from the phones to the public IPs. Since SIP packets have an additional IP address embedded inside, Sprint’s firewalls aren’t NATting that IP and thus the ordinarily “private” IP address is getting through the NAT process.

Dit lijkt me de meest waarschijnlijke oorzaak gezien dat het een smartphone betreft. i.p.v. een link-local adres gebruiken ze een ongebruikt IP uit de DoD reeks.

[m4v3r1ck]

Gebeld met Ziggo, de 1e lijns support medewerkster gaf mij het advies maar de Politie te bellen...

Even doorgevraagd bij haar waarom niet eerst intern bij Ziggo, ze heeft even ruggespraak gehouden met de 2e lijns en nu MAG ik een mail sturen naar abuse@ziggo.nl met uitgebreide info's. Ik zal de info's van dit draadje dan maar even knippen en plakken. Ze heeft mij verzekerd dat ik binnen 24 uur een antwoord heb.

Wordt vervolgd...

Cheers

[m4v3r1ck]

Update: Ik heb vanmorgen een - enigszins teleurstellend - e-mailbericht ontvangen van het Fraud & Abuse Team van Ziggo. Wel netjes dat het binnen de afgesproken tijd is verzonden.

Beste meneer/mevrouw ........,

Ik heb uw forum thread doorgelezen en zie dat u zelf al achter het een en ander bent gekomen in dat het om uw Iphone gaat en dat u een mail naar ons zou sturen en binnen 24 uur antwoord zou krijgen. Excuses voor de communicatie van onze klantenservice. Uw vraag valt echter ver buiten wat Ziggo ondersteunt en waar een klantenservicemedewerker geacht wordt verstand van te hebben.

Ik kan u niet vertellen waarom uw Iphone eerst met een 26.x.x.x ip adres naar buiten gaat. Wellicht kunt u deze vraag beter aan Apple stellen.

Nog een vraag?
Wij staan online dag en nacht voor u klaar met handige oplossingen op maat en slimme stappenplannen voor bijvoorbeeld installaties. Daarna nog een vraag? Of belt u liever? Bekijk onze contactgegevens en openingstijden.

Fijne dag,

NAAM VERWIJDERD
Fraud & Abuse

Ik zou dus moeten concluderen volgens Ziggo dat het een hardware/iOS issue is, terwijl de info's en links uit berichten en links van jullie, anders doen vermoeden. Ik heb nog een paar websites doorgespit. De meeste trekken in deze threads ook de conclusie dat het iP-adressen van de DoD zijn die door ISP's worden gebruikt / gehuurd.

In mijn geval blijft de iPhone 6+ zich nog steeds in eerste instantie aanmelden met een 26.x.x.x. nummer. Zou Ziggo dan echt niet weten waarom een iPhone 6+ zich via hun eigen (netwerk=Vodafone) abbo Ziggo Family hier aanmeldt?

Ik zal eerst met Apple contact opnemen om te horen wat hun verhaal is, voordat ik de e-mail van Ziggo zal beantwoorden.

That's all Folks! Wordt vervolgd...

Cheers

[Ben(V)]

Even  twee bijdragen van mij voor wat het waard is..

1. Poort 0 is een oude Berkley Unix standaard die in ongebruik is geraakt, maar dat is zoiets als een wildcard poort.
Ofwel meld je aan met poort 0 dan zal het operating Systeem (Unix) je de eerste vrije poort toedelen.
Uiteraard een droom voor elke hacker/poort scanner, daarom eigenlijk achterhaalt en zeker in Linux niet meer actueel.

2. Kan het niet gewoon zijn dat een iphone het eerst via 3g probeert en er dan achter komt dat hij ook over wifi kan en overschakelt.
Kan een Apple issue zijn met een dual network stack.