Ssl

中間人攻擊,還是別的什麼?

  • February 27, 2019

我想知道是否有人可以幫助我解決這個問題。

我們有一個只能通過 https:// 埠 443 訪問的網路服務。

使用 netstat 我看到有特定的 ip 試圖連接到伺服器。

例如,所有其他連接都從它們的埠連接到伺服器的 443 埠(正常的 https 行為)。

這個特定的 ip:192.0.73.2,試圖打開從遠端埠 443 到本地埠的連接。(它的狀態始終為 TIME_WAIT,它會消失,然後在大約一分鐘後以 TIME_WAIT 的形式返回。

我要公開報告這個ip,因為它之前已經在這里報告過: https ://www.abuseipdb.com/check/192.0.73.2

有一個保護公司網路的 CISCO 防火牆,我的系統管理員告訴我,他找不到從該 ip 到伺服器的任何命中。但 netstat 工具會報告其他情況。

你能給我一些建議嗎?或者告訴我這是怎麼回事?謝謝!

這就是 netstat 命令顯示的內容:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 server_ip:32884         192.0.73.2:443      TIME_WAIT
tcp6       0  69000 server_ip:443           remote_ip:65045     ESTABLISHED
tcp6       0      0 server_ip:443           remote_ip:20467     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:55430     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:65248     ESTABLISHED

謝謝大家幫我解決這個問題。畢竟是對 gravatar 的召喚

對 192.0.73.2 的正常點擊會重定向到*https://en.gravatar.com/*。這絕對不是 MITM 攻擊。

您的網站正在使用 gravatar 模組,它正在嘗試連接到其伺服器以收集數據,即用於評論的使用者**頭像。**您不必擔心它,因為它在 TIMED_WAIT 之後死亡,它無法連接到伺服器。

您不必擔心,因為防火牆未檢測到 IP。最好修復試圖訪問 gravatar 的模組並允許訪問它。

引用自:https://serverfault.com/questions/857445