我可能会因为这个问题而让自己感到尴尬,因为有些事情非常明显,但我很困惑。
我的家庭宽带防火墙日志显示,它一直在阻止源端口为 443 的传入 TCP 流量。这到底是怎么回事?如果有人尝试建立 HTTPS 连接,那么目标端口应该是 443,而不是源端口,对吗?
以下是日志文件中的条目:
[UFW BLOCK] IN=enp3s0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.x DST=xx.xx.xx.xx LEN=89 TOS=0x00 PREC=0x20 TTL=59 ID=58112 DF PROTO=TCP SPT=443 DPT=56419 WINDOW=7776 RES=0x00 ACK PSH URGP=0
这可能是想做什么?
答案1
没有任何内容限制您在打开 TCP 连接时使用哪个源端口(使用小于 1024 的源端口可能需要 root/超级用户/管理员权限)。
无论如何,如果您看到来自外部且源端口为 443 的流量,则很有可能是一次攻击(可能是运行脚本的机器人),该攻击希望您的防火墙配置(防火墙规则)中存在错误,并让来自端口 443 的流量进入,因为您几乎肯定会允许发往端口 443 的出站流量。
答案2
如果是源端口为 443 的 SYN 数据包,那么这很可能是恶意的。您的数据包是 ACK PSH,因此这将是您端断开的连接,但您连接的 Web 服务器尚未收到 FIN 或 RST 数据包,并继续向您发送数据。
答案3
如果你想了解它,你应该写更多信息。该连接可能是任何程序。如果你想知道你的计算机有哪些 TCP 连接(在端口 443 上),你可以执行网络状态程序并检查IP和程序。
# netstat -ntp | grep :443
此外,您还可以使用嗅探器捕获流量,并通过端口 443 和 IP 查看此连接的来源。此外,您还可以执行谁是通过 IP 来查看你发送的内容。
$ whois <ip>
如果您想查看您的电脑处于监听模式的 TCP 端口,请执行:
# netstat -lnt
如果你想查看哪个程序正在监听,请使用以下参数-p
答案4
我认为这个答案在这里也是一个合乎逻辑的答案:
... 出现这种流量的可能原因是您的 apache 服务器仍然认为连接已打开并正在尝试回复它,而您的防火墙认为连接已关闭,因此会话不再处于活动状态。如果连接空闲的时间比 conntrack 模块认为合理的时间长,则可能会发生这种情况。...