路由器将多个端口重定向到我的电脑。
我检查了 ufw.log,发现许多条目看起来像是来自其他国家的攻击。我检查了 IP,他们被报告为滥用/黑客攻击。
这些是来自 ufw.log 的示例行
Oct 14 08:14:43 kernel: [252337.271031] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=213.226.123.38 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=56509 PROTO=TCP SPT=49810 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
Oct 14 08:53:14 kernel: [254647.921581] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=79.124.62.130 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=22278 PROTO=TCP SPT=46668 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
Oct 14 09:02:13 kernel: [255187.278445] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=64.62.197.16 DST=10.0.1.28 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=12602 PROTO=UDP SPT=36769 DPT=3389 LEN=24
Oct 14 09:14:45 kernel: [255939.716660] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=185.156.74.31 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=10729 PROTO=TCP SPT=53080 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
此后,我删除了许多从路由器到我的电脑的重定向端口。
所以,我的问题是:这些是攻击吗?如果是这样,UFW 是否足以抵御这些攻击?这些是否正常,也就是说,这些攻击者是否正在屏蔽网络,并且每个人都有它们?
答案1
这些是攻击吗?
可能是。
如果是这样,UFW 是否足以抵御这些攻击?
一般来说是的,但要小心这些端口后面运行的服务。我的第一个建议是拥有安全的密码,因为这些攻击通常是暴力攻击。如果可能,请使用家中的本地 VPN 服务器,而不是打开太多端口。
这些是正常的吗?每个人都有吗?
是的,这很正常,我认为每个人都会遇到这些攻击,特别是在使用默认端口时。例如,如果您希望减少对 ssh 的攻击,请更改端口转发规则以公开您选择的随机端口(例如 63721),这将重定向到您的本地 22 端口。为了提高 ssh 的安全性,最好使用公钥身份验证而不是传统的密码。
哦,还有一个提示:您可以使用fail2ban,以自动禁止恶意IP。
更多信息这里。
答案2
所以,我的问题是:这些是攻击吗?
在互联网上,实际上有数千万台受感染的设备(个人电脑、笔记本电脑、服务器、路由器、物联网),它们只需扫描所有公共 IPv4 地址用于开放端口。我不确定 IPv6,因为它包含太多地址,因此简单地枚举它们可能会占用太多流量和时间,并使它们的效率大大降低。
一旦发现开放端口,这些设备将尝试猜测密码或使用该端口/服务的已知漏洞(因为互联网上的许多设备没有[正确]更新)。
我不会将它们称为“攻击”本身。对我来说,“攻击”是指有人针对你具体来说为了危害您的设备/获得未经授权的访问。你看到的是自动化的扫描仪/密码暴力破解设备。
如果是这样,UFW 是否足以抵御这些攻击?
UFW 是一个管理 iptables/nftables 规则的高级守护进程,但这些规则就足够了。
这些是否正常,也就是说,这些攻击者是否正在屏蔽网络,并且每个人都有它们?
确切地。在我的公司,我们有数十台服务器,每台服务器都逐字接收数千此类渗透尝试日常的。