最近,我注意到从办公室网络到互联网上的 TCP 端口 445 的流量 [a]。以下是 Facebook 网络 [b] 和 Google 网络 [c] 的 Linux 防火墙日志条目。我想确定此流量的来源。我的第一个猜测是 Facebook 和 Google 可能使用多个 TCP 端口进行 SSL 负载平衡。但是,我无法根据 Web 代理日志确认这一点。还有可能是什么?
[a] http://support.microsoft.com/kb/204279
[b]
Sep 4 08:30:03 firewall01 kernel: IN=eth0 OUT=eth2 SRC=10.0.0.131 DST=69.171.237.34 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=14287 DF PROTO=TCP SPT=51711 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
[c]
Aug 28 06:02:41 firewall01 kernel: IN=eth0 OUT=eth2 SRC=10.0.0.115 DST=173.194.33.47 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4558 DF PROTO=TCP SPT=49294 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
答案1
它是非常大胆的猜测,但也许有些程序错误地尝试访问\\www.google.com\path而不是http://www.google.com/path?
一些网站使用相对于方案的 URI,例如 而
//host/path不是http://host/path。 (这是使同一链接在 HTTP 和 HTTPS 上都能正常工作的简单方法。)某些程序可能会错误地将这种相对 URI (
//host/path) 解释为 UNC 地址 (\\host\path)。当程序打开 UNC 路径时,Windows 会尝试使用 SMB(直接和通过 NetBIOS)和 HTTP/WebDAV 访问它。