我在 2 月份在运行 Arch Linux 和 Apache 的 Raspberry Pi 上设置了一个家庭网络服务器。我在路由器上启用了端口转发,服务器工作正常。我收到了从可追溯到中国的 IP 访问 phpmyadmin 的标准尝试,但一直没有什么异常,直到 4 月 22 日我开始收到这些:
$ grep '192.168.0.1' 'access_log.1'
192.168.0.1 - - [22/Apr/2013:07:33:29 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [22/Apr/2013:11:33:12 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [22/Apr/2013:15:33:13 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [22/Apr/2013:20:14:03 +0100] "GET / HTTP/1.1" 200 264
192.168.0.1 - - [23/Apr/2013:06:40:03 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [23/Apr/2013:08:52:22 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [23/Apr/2013:10:14:51 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [23/Apr/2013:10:18:49 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [2013 年 4 月 23 日:10:38:12 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [2013 年 4 月 23 日:14:38:11 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [2013 年 4 月 23 日:18:38:11 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [2013 年 4 月 24 日:07:00:44 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [2013 年 4 月 24 日:11:00:42 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [24/Apr/2013:12:25:52 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [24/Apr/2013:16:25:48 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [25/Apr/2013:06:47:46 +0100] “GET / HTTP/1.1” 200 264
192.168.0.1 - - [25/Apr/2013:10:47:30 +0100] “GET / HTTP/1.1” 200 264
该路由器是 Sky Broadband 品牌的 Sagecom,带有品牌固件;远程管理已禁用,管理员密码几个月前已更改为只有我的密码管理器知道的 20 个字符的字符串。路由器日志和服务器日志之间没有对应的模式。我记得 22 日服务器或我的网络没有发生任何变化。从那时起,这些条目每天出现五六次。
这有什么可担心的吗?有办法阻止这些请求吗?将 Apache 的 IP 列入黑名单似乎会引起问题。
谢谢。
答案1
这些请求并不令人担忧。如果任何人都可以访问您的公共 Web 服务器,那么您局域网内的机器肯定也可以,尤其是大多数流量都要经过的设备。如果您的路由器不可靠,那么您就完蛋了。在您发布的部分日志中,我没有看到任何安全问题的迹象。
虽然通常可以在路由器上运行实际的浏览器,但我认为路由器的内部 IP 在访问日志中显示为源地址的最常见原因是发夹式 NAT。如果 LAN 内的计算机尝试通过外部 IP 地址(或解析为外部 IP 地址的域名)连接到 Web 服务器,则连接将失败,因为客户端不希望收到来自服务器 LAN IP 的回复。也就是说,除非路由器支持发夹式 NAT 功能并重写数据包头,用自己的 IP 替换其源 IP。在服务器上,请求似乎来自路由器。
您的 LAN 上的“某些东西”很可能正在使用您的外部 IP 地址轮询 Web 服务器。如果您想关闭此功能,将 192.168.0.1 添加到 Apache 的黑名单中“有效”。服务器仍然可以从外部访问。尽管如此,完全忽略这些日志条目也没什么坏处。