Security

為什麼人們試圖通過 TCP 埠 445 連接到我的網路?

  • March 16, 2011

我正在使用我的新系統日誌伺服器並將我的 m0n0wall 防火牆日誌作為測試轉發,我注意到一堆最近的防火牆日誌條目說它阻止了來自我的 ISP(我檢查過)的其他 WAN IP 在 TCP 埠上連接到我445. 為什麼隨機電腦會嘗試在顯然用於 Windows SMB 共享的埠上連接到我?只是網路垃圾?埠掃描?

這是我所看到的:

Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast

為了我自己的安全,我把我的部分 IP 地址塗黑了。

網路上有很多機器人(受感染機器上的蠕蟲或病毒,掃描受感染機器上執行的機器人等),它們正在尋找易受安全漏洞影響或正在導出全球可訪問共享的 SMB 伺服器。您會在防火牆日誌中看到掃描流量的“環境背景噪音”。

沒什麼好擔心的。只需阻止流量並繼續前進(就像您正在使用防火牆一樣)。這是當今網際網路上的生活事實。

網際網路是一片叢林,你可以被吃掉。這些嘗試很可能是隨機的,掃描網路的一部分,尋找開放埠,然後利用漏洞。您的防火牆正在發揮作用。注意不要對伺服器的所有入站埠進行 NAT,只對您需要的埠進行 NAT,然後保護偵聽這些埠的應用程序並使其保持最新狀態。

引用自:https://serverfault.com/questions/247873

相關問答

Security

伺服器 2012 R2 TCP 時間戳

  • August 23, 2015
檢視問答
Ubuntu

如果通過伺服器提供商設置防火牆,是否需要伺服器防火牆(即 UFW)?

  • February 15, 2022
檢視問答
Security

UFW 的速率限制:設置限制

  • July 9, 2021
檢視問答
Security

允許 apt-get 下載程序的正確 iptables 規則是什麼?

  • September 28, 2020
檢視問答
Ubuntu

docker 上的嚴格 iptables

  • July 27, 2020
檢視問答
Security

允許從動態 IP 連接到 apache

  • June 15, 2020
檢視問答