那些遇到过的问题

为什么人们试图通过 TCP 端口 445 连接到我的网络?

ian*_*215 7 security firewall tcp

我正在使用我的新 syslog 服务器并将我的 m0n0wall 防火墙日志作为测试转发,我注意到一堆最近的防火墙日志条目说它阻止了来自我的 ISP(我检查过)的其他 WAN IP 从 TCP 端口连接到我445. 为什么随机计算机会尝试通过明显用于 Windows SMB 共享的端口连接到我?只是网络垃圾?端口扫描?

这是我所看到的:

Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Run Code Online (Sandbox Code Playgroud)

为了我自己的安全,我屏蔽了我的部分 IP 地址。

Spa*_*iff 7

互联网是一个丛林,你可以被吃掉。这些尝试很可能是随机的、广泛的网络段,寻找开放端口,然后利用漏洞。您的防火墙正在发挥作用。请注意不要将所有入站端口 NAT 到服务器,而只是您需要的端口,然后保护侦听这些端口的应用程序并使其保持最新状态。

Eva*_*son 4

网络上有许许多多的机器人(受感染机器上的蠕虫或病毒、在受感染机器上运行的扫描机器人等),寻找易受安全漏洞攻击或正在导出全球可访问共享的 SMB 服务器。您会在防火墙日志中看到扫描流量的“环境背景噪音”。

没什么好担心的。只需阻止流量并继续(就像您使用防火墙所做的那样)。这是当今互联网上的现实。

归档时间:

查看次数:

3369 次

最近记录:

14 年,7 月 前
相关归档
伪造的 OpenID 提供商是否存在危险? 27
如何扫描防火墙以查找开放的传出端口? 9
网络漏洞和端口扫描服务 7
SSHD - 阻止密码身份验证 5
是否需要nat表INPUT链? 5
访问日志中的可疑活动 - 有人试图找到 phpmyadmin 目录 - 我应该担心吗? 4
虚拟机内存空间取证 4
如何使用 OpenVPN 为所有用户使用共享密钥和证书? 0
将 Postfix 配置为仅在生产服务器上发送邮件的最佳方法是什么? 0
TCP卸载网卡怎么导致TCP校验和无效? 0
难疑归档
如何在一台机器上与多个用户共享 Git 存储库? 231
Shell 命令监视文件中的更改 192
如何在 OS X 上设置全局 PATH 环境变量? 103
我如何确定我的网络上是否存在恶意 DHCP 服务器? 100
与 SSH 会话断开连接会杀死您的程序吗? 100
如何通过看起来像文本的二进制文件进行 grep? 76
Puppet 不应该管理什么? 70
zcat/gzcat 适用于 linux,而不适用于 osx。一般的 linux/osx 兼容性 67
让我的旧 init 脚本在 systemd 中工作的最简单方法是什么? 62
如何在 Apache httpd 虚拟主机中配置基本身份验证? 53