首先,我想澄清一下,我不是网络专家,只是想了解一些事情。我希望我能在这里找到帮助并变得更聪明..我在 Ubuntu 22.04 vps 上托管服务。该服务位于反向代理管理器后面,可以通过互联网访问。
检查 /var/log/syslog 后,我可以看到许多不同的 IP 地址正在尝试在随机端口上使用 TCP 或 UDP 连接到我的服务器。
例如:
Feb 27 15:38:24 srv-ub kernel: [241679.951328] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.163.125.213 DST=xx.xx.xx.231 LEN=44 TOS=0x08 PREC=0x20 TTL=242 ID=14405 PROTO=TCP SPT=42436 DPT=21297 WINDOW=14600 RES=0x00 SYN URGP=0
Feb 27 15:39:09 srv-ub kernel: [241686.038366] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.49.149.1 DST=xx.xx.xx.231 LEN=36 TOS=0x00 PREC=0x00 TTL=245 ID=19849 DF PROTO=UDP SPT=4086 DPT=123 LEN=16
Feb 27 15:39:27 srv-ub kernel: [241703.765119] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.136.225.9 DST=xx.xx.xx.231 LEN=44 TOS=0x00 PREC=0x00 TTL=109 ID=0 PROTO=TCP SPT=62985 DPT=9300 WINDOW=29200 RES=0x00 SYN URGP=0
还有来自不同 Ips 和不同国家(如中国、保加利亚、塞浦路斯等)的更多尝试。(我使用 whois 检查)
我的UFW规则如下:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN Anywhere
443 ALLOW IN Anywhere
8080 ALLOW IN Anywhere
80/tcp ALLOW IN Anywhere
21/tcp DENY IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
443 (v6) ALLOW IN Anywhere (v6)
8080 (v6) ALLOW IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
21/tcp (v6) DENY IN Anywhere (v6)
我的问题是:这是正常流量还是有人试图访问我的服务器?我应该做些什么来反对它吗?
谢谢大家抽出时间。
答案1
这是正常交通吗
是的。
或者有人试图访问我的服务器?
是的。每台具有公共 IPv4 地址的计算机每天都会被恶意僵尸网络扫描数百次。
我应该做些什么来反对它吗?
与任何机器一样,禁用 SSH 密码登录,不要运行不需要主动暴露在互联网上的服务。尤其是端口 8080 完全开放,并且 22、443、8080 不限于 TCP,这一事实表明您正在尽可能严格地锁定,而不会遇到问题。
端口 21 是 FTP,且未加密。这是2023年,不是1993年;绝对没有理由运行暴露在互联网上的 FTP 服务器。 FTP 是一种过时的协议,不安全,并且由于其在不同端口上打开单独的数据和控制连接的倾向,无论如何都会在防火墙后面安全地设置它。它没有标准化处理任何字符编码,甚至目录列表格式也是不明确的。因此,不要使用它来提供可列出的目录,也不要使用它来为第三方提供上传的位置,因为使用未加密的身份验证,连接到它本质上是不安全的。
有多种具有广泛支持的竞争协议。在网络世界中,webDAV 曾经/现在有些流行,在云世界中,AWS S3 协议/REST API 有多种 FOSS 实现;如果您只需要一个软件存储库供其他人下载文件,那么有更简单的解决方案。