很久以前,我就设置了我的老旧 Netgear(大约 2007 年)路由器来发送电子邮件安全日志,但从未真正查看过它们或完全理解它们的含义。
前几天,我对我的安全系统进行了一次全面检查,然后我决定尝试了解路由器日志告诉我什么。
例如,这是几天前发送的日志中的一项(我已隐藏了 IP 地址):
2014 年 11 月 25 日星期二 05:44:18 - TCP 数据包 - 来源:XX.XX.XXX.XX 目标:YYY.YYY.YY - [RDP 匹配]
我假设 [RDP 匹配] 意味着它正在查看是否可以建立 RDP 连接(Netgear 文档中的信息相当少)。
事情是这样的,目标 IP 地址的机器在早上那个时候已经关闭了。
怎么回事?是不是有端口扫描器知道我的网络上有一台机器的 IP 地址为该地址,所以还是会尝试连接,还是我搞错了?
提前致谢。
答案1
由于不了解您的特定路由器及其配置,这个答案有些推测。
日志消息可能意味着路由器记录该数据包被允许通过其 NAT 和/或防火墙,因为它符合与 RDP 协议相关的规则的标准。
如果目标机器已关闭,路由器可能仍会尝试将数据包发送到目标机器,但是由于机器已关闭,数据包将不会得到进一步处理,因此任何 RDP 连接都将失败。
如果机器已打开,任何进一步的处理都将取决于本地防火墙规则以及目标机器上的远程桌面的配置。