Ssh

防火牆阻止了一些從源埠 22 到海外 IP 地址的奇怪通信。我應該擔心嗎?

  • April 20, 2012

我負責通過防火牆通過埠轉發在 Internet 上提供單一服務 (ssh) 的伺服器。

ssh 服務登錄僅限於加密密鑰(不允許密碼)。

一周幾次,我會看到以下類型的防火牆日誌(當然有些模糊):

[UFW BLOCK] IN= OUT=eth0 SRC=192.168.x.x DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0

源埠始終為 22,目標 IP 始終是看似惡意的海外(在本例中為韓國)。

我已經將伺服器完全鎖定,但我對 SSH 和 TCP 協議的了解不夠自信,而且我不喜歡我的伺服器看起來像是在嘗試聯繫陌生人的事實。這種通信在合法的 ssh 會話期間永遠不會發生。

我應該擔心嗎?我的眼睛還沒有發現那個日誌還有什麼奇怪的地方嗎?

編輯:我嘗試了一些簡單的事情(例如嘗試密碼驗證)來使用 ssh 客戶端重現被阻止的連接,但沒有成功。如果我能重現它會很好。

您的系統在埠 22 上接受來自該海外 IP 地址的連接嘗試數據包,但隨後響應數據包被阻止。源埠 22 和數據包上的SYNACK標誌表明它正在嘗試響應連接嘗試,並被阻止。

根據您配置規則的方式(您是否使用ufw,因為您已經用它標記了問題?還是直接iptables?您能提供您的規則嗎?),那麼這可能是也可能不是這種嘗試連接到的預期方式失敗。但是連接嘗試失敗了,所以你被覆蓋了。

引用自:https://serverfault.com/questions/379961