如何從日誌中解釋“埠掃描”

我們在我們的伺服器上使用 CSF，如果它檢測到埠掃描，它會自動阻止 IP。這是我們在發生此類事件時得到的報告：

Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=2 ID=55576 PROTO=UDP SPT=43731 DPT=33477 LEN=40 
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55572 PROTO=UDP SPT=38463 DPT=33473 LEN=40 
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55574 PROTO=UDP SPT=46079 DPT=33475 LEN=40 
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=3 ID=55580 PROTO=UDP SPT=35098 DPT=33481 LEN=40 
Jan 21 09:20:53 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=6 ID=55589 PROTO=UDP SPT=52047 DPT=33490 LEN=40 
Jan 21 09:20:53 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=5 ID=55585 PROTO=UDP SPT=57951 DPT=33486 LEN=40 
Jan 21 09:20:58 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=11 ID=55604 PROTO=UDP SPT=58674 DPT=33505 LEN=40 

但是，在這種情況下，我很確定這不是非法黑客攻擊，而是我們的客戶端被伺服器阻止。我現在需要確定伺服器是否正確阻止了此 IP。所以我的問題是我應該如何解釋這個？這個日誌報告意味著什麼，更一般地說，我該如何學習如何閱讀這些特定的日誌條目？

謝謝！

有一些可能性：

1. 您的客戶端正在執行埠掃描。誰知道，也許她正在使用一些安全工具來確保網路安全。
2. 有人濫用您的客戶端系統進行埠掃描。
3. 您的客戶端系統上安裝了惡意軟體，正在執行埠掃描。

但是，由於 TTL 非常低，您的客戶端很可能正在執行跟踪路由。

引用自：https://serverfault.com/questions/225188