631端口被恶意扫描?

631端口被恶意扫描?

我发现我家网络上的一台计算机 (192.168.1.60) 正在尝试访问我主计算机 (192.168.1.253) 的端口 631。我没有执行任何打印。我想知道是否存在安全问题。

这是来自 /var/log/ufw.log 的内容。它自 2021 年 8 月 3 日起发生。

Aug 30 09:57:19 skunkworks kernel: [ 3150.549098] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=52383 DF PROTO=TCP SPT=32864 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 30 09:57:21 skunkworks kernel: [ 3152.832252] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9216 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 30 09:57:22 skunkworks kernel: [ 3153.845528] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9217 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 30 09:57:25 skunkworks kernel: [ 3156.221825] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38839 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 30 09:57:26 skunkworks kernel: [ 3157.223484] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38840 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 30 09:57:28 skunkworks kernel: [ 3159.735831] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59238 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug 30 09:57:29 skunkworks kernel: [ 3160.760546] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59239 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 

192.168.1.60 启动时首次观察到此流量,任何用户登录后也会随机发生这种情况。

Ufw 阻止了它。我没有在 192.168.1.60 上执行任何打印机活动。它没有配置本地、USB 或网络打印机。192.168.1.253 确实有共享打印机,但它位于防火墙后面。(共享它是为了从本地虚拟机打印)。

此活动是否表明 192.168.1.60 可能已被破解?

192.168.1.60 可能只是试图发现网络上的打印机?

两台电脑都是Ubuntu 20.04.3。这是192.168.1.253的防火墙:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
224.0.0.1                  DENY IN     Anywhere
ff02::1                    DENY IN     Anywhere (v6)

Anywhere                   DENY OUT    224.0.0.1
Anywhere (v6)              DENY OUT    ff02::1

答案1

最有可能的是,该机器正在(非恶意地)尝试发现网络上的打印机。

端口 631 确实是打印/CUPS。使用 cups,一台机器可以与使用相同端口 631 的其他机器“共享”一台打印机。

   sudo systemctl stop cups.service      // Stop once

相关内容