源端口 443?

源端口 443?

我可能会因为这个问题而让自己感到尴尬,因为有些事情非常明显,但我很困惑。

我的家庭宽带防火墙日志显示,它一直在阻止源端口为 443 的传入 TCP 流量。这到底是怎么回事?如果有人尝试建立 HTTPS 连接,那么目标端口应该是 443,而不是源端口,对吗?

以下是日志文件中的条目:

[UFW BLOCK] IN=enp3s0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.x DST=xx.xx.xx.xx LEN=89 TOS=0x00 PREC=0x20 TTL=59 ID=58112 DF PROTO=TCP SPT=443 DPT=56419 WINDOW=7776 RES=0x00 ACK PSH URGP=0

这可能是想做什么?

答案1

没有任何内容限制您在打开 TCP 连接时使用哪个源端口(使用小于 1024 的源端口可能需要 root/超级用户/管理员权限)。

无论如何,如果您看到来自外部且源端口为 443 的流量,则很有可能是一次攻击(可能是运行脚本的机器人),该攻击希望您的防火墙配置(防火墙规则)中存在错误,并让来自端口 443 的流量进入,因为您几乎肯定会允许发往端口 443 的出站流量。

答案2

如果是源端口为 443 的 SYN 数据包,那么这很可能是恶意的。您的数据包是 ACK PSH,因此这将是您端断开的连接,但您连接的 Web 服务器尚未收到 FIN 或 RST 数据包,并继续向您发送数据。

答案3

如果你想了解它,你应该写更多信息。该连接可能是任何程序。如果你想知道你的计算机有哪些 TCP 连接(在端口 443 上),你可以执行网络状态程序并检查IP和程序。

# netstat -ntp | grep :443

此外,您还可以使用嗅探器捕获流量,并通过端口 443 和 IP 查看此连接的来源。此外,您还可以执行谁是通过 IP 来查看你发送的内容。

$ whois <ip>

如果您想查看您的电脑处于监听模式的 TCP 端口,请执行:

# netstat -lnt

如果你想查看哪个程序正在监听,请使用以下参数-p

答案4

我认为这个答案在这里也是一个合乎逻辑的答案:

... 出现这种流量的可能原因是您的 apache 服务器仍然认为连接已打开并正在尝试回复它,而您的防火墙认为连接已关闭,因此会话不再处于活动状态。如果连接空闲的时间比 conntrack 模块认为合理的时间长,则可能会发生这种情况。...

相关内容