Door SirDiceDoor cpt(m)Source IP --> Provider
Source Port --> 53
Destination IP --> DNS Servers lokaal
Destination Port --> 49630, 61545, 50353, 57690, etc.
Gezien de destination poorten zou ik zeggen dat het verkeer was wat van jouw netwerk afkwam en
naar je provider gezonden werd. De IDP triggerde schijnbaar op een response van je provider.
Weet je de details van de rules die getriggerd werden? Waar testen ze op?
Dit zijn de events van mijn IDP detectie:
- DNS possible DNS cache poisoning (W1 to L)
- DNS possible spoof of domain run by local DNS servers (W1 to L)
Zoals je ziet is het van mijn provider (W1) naar mijn lokale netwerk (L), toch!!
Ps. heb nu extra logging aanstaan + het pakket wordt nu std doorgelaten.