<p dir="ltr">From my research it is spoofed traffic and malformed packets potentially. I've seen it mostly in larger DDoS but it could be from other things.</p>
<p dir="ltr">sent from a potato</p>
<div class="gmail_quote">On 07/10/2014 11:47 am, "Alex Samad - Yieldbroker" <<a href="mailto:Alex.Samad@yieldbroker.com">Alex.Samad@yieldbroker.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Na<br>
<br>
Looks like tcp to me<br>
<br>
1:41:27.363636 IP 206.123.71.35.0 > 202.74.32.48.0:  tcp 32 [bad hdr length 8 - too short, < 20]<br>
11:41:28.206239 IP 49.156.17.118.0 > 202.74.32.114.0:  tcp 28 [bad hdr length 12 - too short, < 20]<br>
11:41:29.798972 IP 195.50.80.142.0 > 175.45.112.11.0:  tcp 32 [bad hdr length 8 - too short, < 20]<br>
<br>
To ip's that are not being used !<br>
<br>
A<br>
<br>
> -----Original Message-----<br>
> From: Andree Toonk [mailto:<a href="mailto:andree@bgpmon.net">andree@bgpmon.net</a>]<br>
> Sent: Tuesday, 7 October 2014 11:45 AM<br>
> To: Alex Samad - Yieldbroker<br>
> Cc: <a href="mailto:ausnog@lists.ausnog.net">ausnog@lists.ausnog.net</a><br>
> Subject: Re: [AusNOG] port 0 probes<br>
><br>
> Hi Alex,<br>
><br>
> Not sure where you're seeing this, but if it's in netflow: most routers typically<br>
> mark non-initial fragments as port 0.<br>
><br>
> So if you see udp port 0 ports in netflow it's most likely udp fragments.<br>
> Typically you'll see the same increase in 1500 byte packets (the initial packet).<br>
><br>
> Cheers,<br>
>  Andree<br>
><br>
><br>
> .-- My secret spy satellite informs me that at 2014-10-06 5:34 PM  Alex Samad<br>
> - Yieldbroker wrote:<br>
> > Hi<br>
> ><br>
> ><br>
> ><br>
> > I am seeing a marked increase src port 0 and dst port 0 packets.<br>
> > Anyone else seeing this.<br>
> ><br>
> ><br>
> ><br>
> > I presume this is some sort of probe.<br>
> ><br>
> ><br>
> ><br>
> > Is there a legal reason to use port 0 ?<br>
> ><br>
> ><br>
> ><br>
> > A<br>
> ><br>
> > _______________________________________________<br>
> > AusNOG mailing list<br>
> > <a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
> > <a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</blockquote></div>