1 Reply Latest reply on Mar 14, 2017 5:13 AM by smasnizk

    ACK Packages sent from WebGateway blocked by HIPS 8.0

    warlord711

      Hi !

       

      Our customer complained about network issues and their IT team checked the McAfee HIPS and found lines like this(sorry german language incoming:

       

      Uhrzeit:     07.03.2017 10:48:08

      Ereignis:     Datenverkehr

      IP-Adresse/Benutzer:     192.168.102.10

      Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50455)

      Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

       

      Uhrzeit:     07.03.2017 10:48:08

      Ereignis:     Datenverkehr

      IP-Adresse/Benutzer:     192.168.102.10

      Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50452)

      Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

       

      Uhrzeit:     07.03.2017 10:48:08

      Ereignis:     Datenverkehr

      IP-Adresse/Benutzer:     192.168.102.10

      Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50449)

      Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

       

      Uhrzeit:     07.03.2017 10:48:08

      Ereignis:     Datenverkehr

      IP-Adresse/Benutzer:     192.168.102.10

      Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50441)

      Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

       

      Uhrzeit:     07.03.2017 10:48:08

      Ereignis:     Datenverkehr

      IP-Adresse/Benutzer:     192.168.102.10

      Nachricht:     Blockiert Eingehend  - Quelle 192.168.102.10:  (8080) Ziel 10.50.25.82:  (50446)

      Übereinstimmung mit Regel:     Sämtlichen Verkehr blockieren

       

       

       

      I checked the network traffic with wireshark, I found out those are ACK packets sent from Proxy to Client, but when I try to trace the ACK to the frame it ACK's, there is none. Could it be that WebProxy sends random ACK's ?

      It only happens if you load a website using Proxy.