我们在服务器上使用 CSF,如果检测到端口扫描,它会自动阻止 IP。当此类事件发生时,我们会收到以下报告:
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=2 ID=55576 PROTO=UDP SPT=43731 DPT=33477 LEN=40
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55572 PROTO=UDP SPT=38463 DPT=33473 LEN=40
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55574 PROTO=UDP SPT=46079 DPT=33475 LEN=40
Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=3 ID=55580 PROTO=UDP SPT=35098 DPT=33481 LEN=40
Jan 21 09:20:53 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=6 ID=55589 PROTO=UDP SPT=52047 DPT=33490 LEN=40
Jan 21 09:20:53 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=5 ID=55585 PROTO=UDP SPT=57951 DPT=33486 LEN=40
Jan 21 09:20:58 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=11 ID=55604 PROTO=UDP SPT=58674 DPT=33505 LEN=40
但是,在这种情况下,我很确定这不是非法黑客攻击,而是我们的客户端被服务器阻止了。我现在需要弄清楚服务器是否正确阻止了这个 IP。所以我的问题是我应该如何解释这一点?这个日志报告意味着什么,更一般地说,我该如何学习如何阅读那些特定的日志条目?
谢谢!
答案1
有以下几种可能性:
您的客户端正在进行端口扫描。谁知道呢,也许她正在使用一些安全工具来确保网络是安全的。
有人正在滥用您的客户端系统进行端口扫描。
您的客户端系统上安装了恶意软件,正在进行端口扫描。
然而,因为 TTL 非常低,所以非常您的客户端可能正在进行跟踪路由。