我是一个小型网络的管理员,该网络有一个 Web 服务器,只有 Web 服务器直接连接到 Internet。其余网络通过其他地方进行连接。
我使用 tcpdump 检查服务器上的流量,发现大量来自不同 IP 地址的连接指向端口 6881。我的机器上的所有端口都被阻止,除了 Web 服务器真正需要的端口(如端口 80)。我检查并确认 6881 和其余端口处于过滤(防火墙)状态。
为什么所有这些 IP 都会不断尝试连接端口 6881 上的服务器,无论该端口是否打开?
这是某种新型攻击吗?或者 6881 上运行的某些服务存在某种新漏洞(可能是 0day?)?据我所知,端口 6881 被 bittorrent 和类似程序使用。
答案1
使用 Wireshark(或类似程序)查看流量,而不仅仅是查看其端口。这可能会给你一些线索。端口 6881 最有可能是 bittorrent 流量,但也可能是恶意软件的结果。检查你的内部流量,寻找 bittorrent 流量的迹象。
答案2
wargaming.net 使用端口 6881 传输 p2p 游戏文件。很可能网络上有人正在玩游戏。
答案3
听起来好像有人在伪造您的地址,然后与跟踪器通信,这可能是出于无知而不是恶意。假设它没有切断您的连接,我会看看它是否会持续超过一天左右,如果持续的话,请与您的提供商联系,看看他们是否可以在其端对其进行过滤。
答案4
是的,这可能是跟踪器出现故障而导致的 DNS 更改。如果您有真正的互联网连接(商业服务),他们应该能够为您过滤掉它。