我有一个新的华硕 RT-AC68U 双频无线 AC1900 路由器。
在系统日志 - 端口转发页面下,我看到以下内容:
Destination Proto. Port range Redirect to Local port
ALL TCP 80 192.168.1.200 80
ALL TCP 443 192.168.1.200 443
ALL UDP 63356 192.168.1.122 63356
ALL UDP 53281 192.168.1.10 53281
192.168.1.200是一个 Linux 网络服务器,我有意设置了这些端口转发规则。 192.168.1.10是我用来访问路由器的 Windows 客户端,我没有为其创建端口转发规则。(编辑。最初,它只是端口 53281,但现在我也看到了 63356)。如果我转到 WAN/端口转发页面,则不会显示此规则。我尝试在该客户端上注销路由器,然后使用另一个客户端登录,日志文件仍然显示端口 53281 转发到192.168.1.10,而不是新客户端的 IP。
我的 Linux 服务器最近受到了攻击,但是我认为它并没有被攻破。
此端口的用途是什么?是否应关闭?如果关闭,应如何关闭?
答案1
我怀疑问题是由于即插即用在您的路由器上启用。
我查看了自己的设备以进行比较。端口转发已启用,并且我一直在启用 uPNP 的情况下运行。
禁用 uPNP 之前的日志:
Destination Proto. Port range Redirect to Local port
ALL TCP 32400 192.168.0.15 32400
ALL UDP 32400 192.168.0.15 32400
ALL TCP 5001 192.168.0.254 5001
ALL UDP 5001 192.168.0.254 5001
ALL TCP 17134 192.168.0.15 32400
ALL UDP 26287 192.168.0.107 26287
ALL TCP 26287 192.168.0.107 26287
ALL UDP 21539 192.168.0.227 21539
ALL TCP 21539 192.168.0.227 21539
ALL TCP 5001 192.168.0.254 5001
从该列表中,我明确设置的只有 5001 和 32400。我的两个客户端 IP 有奇怪的 UDP 连接,都是 Windows 机器,并且都有尝试通过 uPNP 摆脱攻击的应用程序(uTorrent 和媒体服务器)。禁用 uPNP 后,只剩下 32400 和 5001 端口(我启动了我的 Xbox 360,以确保它不会使用 uPNP 造成漏洞)。
此外,如果你的端口转发偶尔失败(启动,然后因为某种原因退出),请务必关闭硬件加速内置于路由器中。您可能还是想这样做,因为这似乎是导致此路由器出现各种端口转发问题的原因(截至 2014 年 11 月的最新固件)
答案2
禁用 SSDP 和 UPnP 后,netstat -ab
[svchost.exe]
UDP 192.168.1.134:56605 *:*
变成
[zerotier-one_x64.exe]
UDP 192.168.1.134:56605 *:*
我猜零层本质上需要它,而且它正在伪装自己。