我有一台 2701HGV-B 2Wire 调制解调器和路由器 (AT&T)。日志基本上充满了类似以下内容的条目,条目之间的时间间隔为五分之一秒到三分之一秒:
src=86.156.7.170 dst=xxx.xxx.xxx.38 ipprot=17 sport=6882 dport=1701 Unknown inbound session stopped
src=58.176.22.252 dst=xxx.xxx.xxx.38 ipprot=17 sport=21573 dport=1701 Unknown inbound session stopped
src=91.221.6.250 dst=xxx.xxx.xxx.38 ipprot=17 sport=25902 dport=1701 Unknown inbound session stopped
...
其中每个条目的源 IP 都不同。条目不断累积,路由器运行的每一秒都会在日志中出现几个条目。目标是我的路由器的 WAN 地址。我知道这与 VNC 有某种关系,但我不知道为什么我的路由器会收到大量 VNC 会话请求。有什么可疑的事情发生吗?或者这是正常的吗?如果是正常的,我该如何防止这些条目向我的日志文件发送垃圾邮件?由于每秒大约有两三个这样的条目,其他一切都被淹没了。
答案1
IP 协议 17 是 UDP,正如评论中提到的,UDP/1701 是 VPN 协议 L2TP 常用的端口。
L2TP 已经报告了一些漏洞,因此最可能出现的情况是
- 一台 PC 已被入侵,正在用于扫描易受攻击的 L2TP 实现,并且您的 IP 已被扫描
- 您的 IP 地址先前已被其他人使用,该用户实际上正在运行 L2TP 网关,并且该网关的某个客户端仍在尝试联系它。
源地址是英国 ISP BT 范围的一部分,因此可能是国内连接。
无论如何,防火墙都会阻止它,它在做它的工作。如果你观察你的外部连接,你会看到许多尝试连接到你的 IP 地址上的端口。这只是互联网的背景辐射,僵尸电脑正在进行扫描。
您可以放心地忽略它。