<html>

<font size=3>There's nothing we're doing that should trigger such a

thing. Perhaps something is scanning IP space for http servers, and the

traffic's getting thru since the group is already known to the routers ..

or something..<br><br>

--bob<br><br>

At 01:54 PM 5/16/2002 -0600, Stewart, Corbin J wrote:<br>

<blockquote type=cite class=cite cite>Greetings,<br>

I received this email from Hugh saying that he's seeing multicast traffic

to<br>

223.2.171.1:80 from our video machine that's running our multicast

beacon.<br>

Any ideas why traffic would be going to port 80.&nbsp; We did have an AG

meeting<br>

today in the Big Horn room from 8-11am PST.&nbsp; I don't know if that

helps.<br><br>

Thanks in advance<br><br>

---------------------------------------------------------------<br>

Corbin

Stewart<x-tab>&nbsp;&nbsp;</x-tab><x-tab>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</x-tab><x-tab>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</x-tab><x-tab>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</x-tab>&nbsp;&nbsp;&nbsp;&nbsp;

cjstewa@sandia.gov<br><br>

Videoconferencing &amp; Collaborative Environments<br>

Sandia National Laboratories California<br>

925-294-4856<br><br>

<br>

-----Original Message-----<br>

From: Hugh LaMaster

[<a href="mailto:lamaster@nas.nasa.gov" eudora="autourl">mailto:lamaster@nas.nasa.gov</a>]<br>

Sent: Thursday, May 16, 2002 11:57 AM<br>

To: Ross Gaunt; Scott Miller; Jeff Olsen; Brian Bodtker; Lanette<br>

Radliff; Corbin Stewart; Rich Gay<br>

Subject: Strange Access Grid traffic to port 80 (fwd)<br><br>

<br><br>

Greetings,<br><br>

Sorry to bother you all if this turns out to be nothing, but,<br>

I am a little concerned about the following.&nbsp; For some time,<br>

I have been concerned about the potential for using multicast<br>

to scan for certain broken IP stacks.&nbsp; So, I block certain <br>

ports for all multicast groups.<br><br>

Today, for the first time, I seem to be seeing such traffic.<br>

(Well, I have seen a few things long ago, but, they were<br>

unmistakable as broken software/configurations and othe 

errors.)<br><br>

I was surprised that it started coming from both the Sandia<br>

and LLNL access grid beacons at about the same time.&nbsp; So,<br>

perhaps I am being paranoid, but, I have to ask if this is<br>

something you set up on purpose, and, why?&nbsp; If not, is it<br>

a misconfiguration or a security breach?&nbsp; I am trying to <br>

think of a legitimate reason for why traffic would be sent<br>

to the Access Grid multicast group on port 80.<br><br>

Apologies in advance if I am being obtuse.&nbsp; Just tell me to <br>

go climb back under my rock.<br><br>

OTOH, if I'm not mistaken, I thought you would want to know.<br><br>

Regards,<br>

Hugh LaMaster<br>

NASA NREN<br><br>

<br>

============================================================================<br>

==<br>

&nbsp;Hugh LaMaster, M/S 233-21,&nbsp;&nbsp;&nbsp; Email:

lamaster@nas.nasa.gov<br>

&nbsp;NASA Ames Research Center&nbsp;&nbsp;&nbsp;&nbsp;

Or:&nbsp;&nbsp;&nbsp; lamaster@nren.nasa.gov<br>

&nbsp;Moffett Field, CA 94035-1000&nbsp; Or:&nbsp;&nbsp;&nbsp;

lamaster@kinkajou.arc.nasa.gov<br>

&nbsp;Phone:

650/604-1056&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

Disc:&nbsp; Unofficial, personal *opinion*.<br>

============================================================================<br>

==<br><br>

---------- Forwarded message ----------<br>

Date: Thu, 16 May 2002 11:44:43 -0700 (PDT)<br>

From: Hugh LaMaster &lt;lamaster@nas.nasa.gov&gt;<br>

To: Hugh LaMaster &lt;lamaster@kinkajou.arc.nasa.gov&gt;<br>

Subject: Bogus multicast packets to port 80<br><br>

<br><br>

SLOT 1:May 16 04:58:17.758: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(2632) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:18.830: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(2852) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:20.250: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3343) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:21.354: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4913) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:22.874: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(2936) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:24.122: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3419) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:25.326: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(1994) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:26.694: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(3177) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:29.310: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(9145) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:30.342: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(2974) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:31.518: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(3107) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:32.530: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(2712) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:33.538: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(2573) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:34.594: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3782) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:35.802: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(1263) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:37.346: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(3651) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:38.550: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(3474) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:39.650: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4151) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:40.962: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(4300) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:43.518: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(49352) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:47.962: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(4517) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:51.970: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(1728) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:53.402: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3055) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:54.834: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(1784) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:56.266: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4724) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:58.574: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3318) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:58:59.674: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3596) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:01.214: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(2306) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:02.774: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3960) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:04.646: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(54849) -&gt; 233.2.171.1(37), 1 packet<br>

SLOT 1:May 16 04:59:06.514: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(64768) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:08.274: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4184) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:10.502: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(17912) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:12.254: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4618) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 04:59:25.550: %SEC-6-IPACCESSLOGRL: access-list

logging<br>

rate-limited or missed 58 packets<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3692) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(2202) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(3287) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(4078) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(4477) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

192.12.135.2(3189) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4101) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(4854) -&gt; 233.2.171.1(80), 1 packet<br>

SLOT 1:May 16 05:04:25.588: %SEC-6-IPACCESSLOGP: list 130 denied 

udp<br>

146.246.172.2(3167) -&gt; 233.2.171.1(80), 1

packet</font></blockquote></html>