好吧,我对网络的了解仅限于我在计算机系统和电子学课程中学到的知识,我看到了一些我不知道如何解释的东西。我哥哥想让我为他建立一个 Gary's Mod 的私人服务器,让他和他的朋友可以一起玩,托管在我们私人 ATnT Uverse 家庭网络上的台式机上。
我首先通过 chrome 通过路由器主页为桌面分配了一个静态 IP。然后我按照港口转运网在我的路由器主页上为 Gary's Mod 使用的端口创建防火墙例外。
Gary's Mod 使用端口3478、4379-4380、27000-27030。在路由器上打开这些端口后,关联的 IP 为99.48.61.197。
如果我查看路由器的日志文件,我会看到以下内容:
INF 2016-05-28T21:09:14-05:00 sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=27014-27050
INF 2016-05-28T21:09:14-05:00 sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=3478
INF 2016-05-28T21:09:14-05:00 sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=4379-4380
INF 2016-05-28T21:09:14-05:00 sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=27000-27030
INF 2016-05-28T21:39:41-05:00 sys Successfully logged into a password protected page
这只是我在防火墙中创建的例外。但是,我肯定做错了什么,我哥哥的朋友"Connection timed out"在尝试加入我哥哥的游戏时一直收到错误。所以我进一步查看日志文件以检查失败的连接尝试。我发现了这些:
INF 2016-05-29T00:56:20-05:00 Previous log entry repeated 2 times
INF 2016-05-29T00:58:05-05:00 fw,fwmon src=93.174.93.94 dst=99.48.61.197 ipprot=6 sport=50610 dport=21 Unknown inbound session stopped
INF 2016-05-29T01:01:06-05:00 fw,fwmon src=123.248.119.133 dst=99.48.61.197 ipprot=6 sport=3483 dport=23 Unknown inbound session stopped
INF 2016-05-29T01:01:15-05:00 Previous log entry repeated 2 times
INF 2016-05-29T01:05:35-05:00 fw,fwmon src=184.105.247.231 dst=99.48.61.197 ipprot=17 sport=44310 dport=5351 Unknown inbound session stopped
INF 2016-05-29T01:07:08-05:00 fw,fwmon src=122.116.224.144 dst=99.48.61.197 ipprot=6 sport=40086 dport=23 Unknown inbound session stopped
INF 2016-05-29T01:07:11-05:00 Previous log entry repeated 1 times
还有更多,大多数看起来都一样。这些条目可能有近 100 个。所有这些流量的目的地是99.48.61.197,这是与 Gary's Mod 端口关联的 IP。我随机映射了少数源 IP 的位置,结果如下:
我不知道该如何解释这一点。我是不是只看到了 Gary's Mod 服务器的流量?还是这些是某种机器人脚本,它们搜索开放端口并试图进入我建立的服务器?我怀疑是后者,因为每个日志条目都显示“未知入站会话已停止”。我还怀疑该消息与我兄弟的朋友无法连接的原因有关。或者可能比这更复杂。
更普遍的问题是,除了这个具体背景之外,为什么会发生这种情况?例如,当我lastb在 Raspberry Pi 上运行 bash 时,我会得到一大堆尝试连接(错误登录)的列表,其中大多数源 IP 来自中国,一些来自荷兰等。为什么机器人会四处浏览试图连接到公共网络上的机器?如果他们碰巧获得访问权限,他们的目的是什么?而且,这就是我尝试访问 Garry's Mod 服务器时发生的事情吗?
答案1
您正在接受易受攻击的服务扫描。这与运行 Gary's Mod 无关,这只是互联网上任何具有公共 IP 地址的设备(如您的路由器)都会发生的事情。
更具体地说,我看到了以下连接尝试:
ipprot=6 (TCP) dport=21 (FTP),这是一种古老的文件共享协议,非常不安全,因此不应该再使用了。
ipprot=6 (TCP) dport=23 (Telnet),一种古老的远程登录协议,极度不安全,应该不再使用。
ipprot=17 (UDP) dport=5351(NAT 端口映射协议),该协议旨在允许私有网络上的设备告诉路由器如何配置其互联网连接,即暴露于外部互联网时容易受到攻击。
基本上,人们会随机扫描互联网,寻找易于攻击的目标。如果您继续查看日志,您会看到更多针对这些端口和其他端口的尝试,包括完全随机的端口号(只是为了看看他们能找到什么)。您的路由器内置防火墙似乎可以很好地阻止探测,这是您能做的最好的事情。
最终,有人会幸运地探测到 Gary's Mod 使用的某个端口。他们能否利用这一发现取决于 Gary's Mod 服务器软件的安全性,对此我并不熟悉,因此无法发表评论。