这是来自的小输出tcpdump -i re1 'port 25':
14:00:10.732034 IP cf-190-93-254-113.cloudflare.com.http > MY_IP.smtp: S 4234708404:4234708404(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
14:00:10.747464 IP cf-190-93-252-90.cloudflare.com.http > MY_IP.smtp: S 2396112716:2396112716(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
14:00:10.790744 IP cf-190-93-255-113.cloudflare.com.http > MY_IP.smtp: S 1218828436:1218828436(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
14:00:10.804055 IP cf-190-93-254-113.cloudflare.com.http > MY_IP.smtp: S 1973146744:1973146744(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
或者以下输出tcpdump -n src net 190.93.0.0/16:
13:59:14.388684 IP 190.93.254.113.80 > MY_IP.25: S 2997821316:2997821316(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.394882 IP 190.93.254.113.80 > MY_IP.110: S 3076994870:3076994870(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.407414 IP 190.93.252.90.80 > MY_IP.25: S 943264969:943264969(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.416960 IP 190.93.255.113.80 > MY_IP.110: S 3406738447:3406738447(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.435186 IP 190.93.255.113.80 > MY_IP.25: S 1205583072:1205583072(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
13:59:14.460652 IP 190.93.254.113.80 > MY_IP.25: S 4135984739:4135984739(0) win 8192 <mss 1412,nop,wscale 8,nop,nop,sackOK>
我不是 的用户cloudflare.com。
我想知道发生什么事了???
cloudflare.com 被黑了还是……???
我将这些 IP 添加到防火墙规则中并要求我的提供商过滤这些流量,但我无法理解......
答案1
你无法确定地说出很多事情。
端口 25 和 110 分别是 SMTP 和 POP3 服务。
如果您(或同事)尚未在 Cloudflare 帐户上设置某种网络邮件前端,我猜测 Cloudflare 客户(或被入侵其帐户/应用程序的人入侵的软件)正在试图侵入您 IP 地址的电子邮件服务器。
源 IP 各不相同,这可能只是 Cloudflare 互连的一个特性,也可能意味着确实存在多个来源(几个不同的 Cloudflare 客户 - 也许都使用 Cloudflare 提供的具有共同漏洞的应用程序)。
S 表示 SYN。这是用于建立 TCP 连接的三次握手的第一部分。由于您的输出没有显示任何继续的证据,因此看起来您没有任何服务正在监听这些端口。
为了获得更好的答案,您必须与 Cloudflare 支持人员联系。