我的家庭网络是否受到攻击?

tag-icon tag-icon networking router firewall ufw
我的家庭网络是否受到攻击?

我开始学习网络安全和防火墙。我的网络非常简单,我有一个路由器(MikroTik),我的笔记本电脑通过 WLAN 连接到它。路由器具有以下(默认)防火墙配置:

Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 2    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 3    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 4    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1 

 5    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN 

 6    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 7    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

 8    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related 

 9    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

10    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

11    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN

我现在查看了我的笔记本电脑/var/log/syslog,发现它充满了UFW条目BLOCK

Nov  9 15:01:48 user kernel: [UFW BLOCK] IN=wlp0s20f3 OUT= MAC= SRC=[redacted IPv6] DST=[redacted IPv6] LEN=291 TC=0 HOPLIMIT=1 FLOWLBL=126516 PROTO=UDP SPT=37417 DPT=21027 LEN=251 
Nov  9 15:26:48 user kernel: [UFW BLOCK] IN=wlp0s20f3 OUT= MAC= SRC=[redacted IPv6] DST=[redacted IPv6] LEN=291 TC=0 HOPLIMIT=1 FLOWLBL=126516 PROTO=UDP SPT=37417 DPT=21027 LEN=251 
Nov  9 15:30:03 user kernel: [UFW BLOCK] IN=wlp0s20f3 OUT= MAC=[redacted MAC] SRC=85.145.237.54 DST=[redacted IPv4] LEN=52 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=TCP SPT=443 DPT=47648 WINDOW=510 RES=0x00 ACK URGP=0 
Nov  9 15:30:17 user kernel: [UFW BLOCK] IN=wlp0s20f3 OUT= MAC=[redacted MAC] SRC=120.29.217.52 DST=[redacted IPv4] LEN=52 TOS=0x00 PREC=0x00 TTL=61 ID=0 DF PROTO=TCP SPT=443 DPT=38990 WINDOW=11 RES=0x00 ACK URGP=0

每小时有 3 到 20 条记录。一些目标 IP 地址来自中国、俄罗斯和白俄罗斯,而我从未使用过这些国家的网站。我的路由器防火墙有问题吗?还是有人在积极利用它?此外,在当前设置下,如果禁用 UFW,是否意味着任何人都可以尝试访问我的笔记本电脑?

抱歉,这个问题可能比较愚蠢,但我还是有点震惊,因为我一直以为路由器中的防火墙可以很好地处理这项工作。

答案1

前两个条目虽然已被删改,但在我看来,它们像是 Syncthing 发送的多播发现数据包。(此类数据包的 Hoplimit 通常为 1。)如果您仔细查看已删改的 IP 地址,它们可能是您自己的地址和多播组地址。

最后两个条目是非常可能属于出站连接(即从计算机发出的连接);它们可能是 Syncthing 中继服务器或其他东西。请注意,443 是源端口,而目标端口是随机的;这就是来自 Web 服务器的数据包的样子。

此类数据包会被阻止的一种情况是,当您的计算机暂停或类似情况时连接仍然处于活动状态,这导致 UFW 的连接状态跟踪忘记该连接,而路由器的防火墙继续将其跟踪为活动状态(因此允许数据包通过)。

(这严格来说是关于帖子中显示的日志条目,而不是未显示的来自中国或俄罗斯的日志条目。)

答案2

根据你的帖子,它说

[UFW 区块]

那应该意味着防火墙阻止了它。

我通常每小时能赚到 200 到 1000 美元,所以你的费率不是很高。

许多人都在进行端口扫描,这可能是黑客攻击的前奏,但其本身并不是黑客攻击。

还有一些人尝试随机连接到每个 IP 以查看是否有任何可以尝试利用的开放端口。

当然,这些都是通过脚本完成的,所以目前是 100%自动化的。

如果您有一个开放的端口,该开放的端口以后可能会成为进一步攻击的目标。

端口 443 是使用 SSL 或更准确地说是 TLS 加密的标准 Web 服务器。

有些只是检查您是否正在运行 Web 服务器。

为了好玩,我已经维护了一个阻止列表好几年了,它有超过 100 万个条目并且还在不断增长。

相关内容