我最近注意到一组奇怪的 UDP 数据包,我无法解释。
每 9 秒我都会收到来自 156.146.58.62 的 UDP 数据包:端口 1197。
数据包始终是 41 字节的二进制数据,随着每个数据包的变化而变化。
端口 1197 名义上是“卡里乌斯 r-shell”用于远程访问。
我找不到任何有用的信息156.146.58.62。
我第一次注意到它是因为我的系统响应ICMP 不可达消息。我已经用 iptables 屏蔽了 IP,所以不再有 ICMP 消息。
尽管数据包现在被丢弃,但我仍然可以看到数据包仍然每 9 秒到达一次。我的机器位于 NAT 之后,不在 DMZ 中,并且没有路由器转发规则。
那么我为什么/如何看到这个数据包呢?
我唯一能想到的是,我有一些应用程序(例如 Zoom 或 Skype)正在启动 NAT 动态端口分配,并且来自 156.146.58.62 的 9 秒重复使其保持打开状态?
有什么见解吗?
答案1
我很确定我找到了它。
我对其进行了 NMAP 处理并建立了连接。
PORT STATE SERVICE VERSION
80/tcp open http?
443/tcp open openvpn OpenVPN
8443/tcp open https-alt?
No exact OS matches for host
PIA(私人互联网接入)在新的所有权下改进了他们的服务结构。他们的UDP VPN服务器通常使用端口1197。
我无法找到该 IP 的特定服务器 DNS,但在重新启动路由器后,我不再看到 NAT 内的数据包。我没有检查路由器日志。
我怀疑这是一台旧服务器,可能被忽视或配置错误。