cancel
Showing results for 
Search instead for 
Did you mean: 

ACK Packages sent from WebGateway blocked by HIPS 8.0

Hi !

Our customer complained about network issues and their IT team checked the McAfee HIPS and found lines like this(sorry german language incoming:

Uhrzeit:     07.03.2017 10:48:08

Ereignis:     Datenverkehr

IP-Adresse/Benutzer:     192.168.102.10

Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50455)

Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

Uhrzeit:     07.03.2017 10:48:08

Ereignis:     Datenverkehr

IP-Adresse/Benutzer:     192.168.102.10

Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50452)

Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

Uhrzeit:     07.03.2017 10:48:08

Ereignis:     Datenverkehr

IP-Adresse/Benutzer:     192.168.102.10

Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50449)

Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

Uhrzeit:     07.03.2017 10:48:08

Ereignis:     Datenverkehr

IP-Adresse/Benutzer:     192.168.102.10

Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50441)

Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

Uhrzeit:     07.03.2017 10:48:08

Ereignis:     Datenverkehr

IP-Adresse/Benutzer:     192.168.102.10

Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50446)

Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

I checked the network traffic with wireshark, I found out those are ACK packets sent from Proxy to Client, but when I try to trace the ACK to the frame it ACK's, there is none. Could it be that WebProxy sends random ACK's ?

It only happens if you load a website using Proxy.

1 Reply
McAfee Employee smasnizk
McAfee Employee
Report Inappropriate Content
Message 2 of 2

Re: ACK Packages sent from WebGateway blocked by HIPS 8.0

TCP handshake is a part of RFC standard and isn't random. You can create TCPdump on web gateway filtered to a specific host and check.

Packet Tracing:

+++++++++++++++++

GUI -> Troubleshooting -> Packet Capture (Parameters: -npi any -s0 host x.x.x.x)

-Sergej

More McAfee Tools to Help You
  • Subscription Service Notification (SNS)
  • How-to: Endpoint Removal Tool
  • Support: Endpoint Security
  • eSupport: Policy Orchestrator