Firewall
如何從日誌中解釋“埠掃描”
我們在我們的伺服器上使用 CSF,如果它檢測到埠掃描,它會自動阻止 IP。這是我們在發生此類事件時得到的報告:
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=2 ID=55576 PROTO=UDP SPT=43731 DPT=33477 LEN=40 Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55572 PROTO=UDP SPT=38463 DPT=33473 LEN=40 Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55574 PROTO=UDP SPT=46079 DPT=33475 LEN=40 Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=3 ID=55580 PROTO=UDP SPT=35098 DPT=33481 LEN=40 Jan 21 09:20:53 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=6 ID=55589 PROTO=UDP SPT=52047 DPT=33490 LEN=40 Jan 21 09:20:53 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=5 ID=55585 PROTO=UDP SPT=57951 DPT=33486 LEN=40 Jan 21 09:20:58 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=11 ID=55604 PROTO=UDP SPT=58674 DPT=33505 LEN=40
但是,在這種情況下,我很確定這不是非法黑客攻擊,而是我們的客戶端被伺服器阻止。我現在需要確定伺服器是否正確阻止了此 IP。所以我的問題是我應該如何解釋這個?這個日誌報告意味著什麼,更一般地說,我該如何學習如何閱讀這些特定的日誌條目?
謝謝!
有一些可能性:
- 您的客戶端正在執行埠掃描。誰知道,也許她正在使用一些安全工具來確保網路安全。
- 有人濫用您的客戶端系統進行埠掃描。
- 您的客戶端系統上安裝了惡意軟體,正在執行埠掃描。
但是,由於 TTL 非常低,您的客戶端很可能正在執行跟踪路由。