中間人攻擊，還是別的什麼？

我想知道是否有人可以幫助我解決這個問題。

我們有一個只能通過 https:// 埠 443 訪問的網路服務。

使用 netstat 我看到有特定的 ip 試圖連接到伺服器。

例如，所有其他連接都從它們的埠連接到伺服器的 443 埠（正常的 https 行為）。

這個特定的 ip：192.0.73.2，試圖打開從遠端埠 443 到本地埠的連接。（它的狀態始終為 TIME_WAIT，它會消失，然後在大約一分鐘後以 TIME_WAIT 的形式返回。

我要公開報告這個ip，因為它之前已經在這里報告過： https ://www.abuseipdb.com/check/192.0.73.2

有一個保護公司網路的 CISCO 防火牆，我的系統管理員告訴我，他找不到從該 ip 到伺服器的任何命中。但 netstat 工具會報告其他情況。

你能給我一些建議嗎？或者告訴我這是怎麼回事？謝謝！

這就是 netstat 命令顯示的內容：

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 server_ip:32884         192.0.73.2:443      TIME_WAIT
tcp6       0  69000 server_ip:443           remote_ip:65045     ESTABLISHED
tcp6       0      0 server_ip:443           remote_ip:20467     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:55430     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:65248     ESTABLISHED

謝謝大家幫我解決這個問題。畢竟是對 gravatar 的召喚

對 192.0.73.2 的正常點擊會重定向到*https://en.gravatar.com/*。這絕對不是 MITM 攻擊。

您的網站正在使用 gravatar 模組，它正在嘗試連接到其伺服器以收集數據，即用於評論的使用者**頭像。**您不必擔心它，因為它在 TIMED_WAIT 之後死亡，它無法連接到伺服器。

您不必擔心，因為防火牆未檢測到 IP。最好修復試圖訪問 gravatar 的模組並允許訪問它。

引用自：https://serverfault.com/questions/857445