![为什么人们尝试通过 TCP 端口 445 连接到我的网络?](https://linux22.com/image/543022/%E4%B8%BA%E4%BB%80%E4%B9%88%E4%BA%BA%E4%BB%AC%E5%B0%9D%E8%AF%95%E9%80%9A%E8%BF%87%20TCP%20%E7%AB%AF%E5%8F%A3%20445%20%E8%BF%9E%E6%8E%A5%E5%88%B0%E6%88%91%E7%9A%84%E7%BD%91%E7%BB%9C%EF%BC%9F.png)
我正在使用我的新系统日志服务器,并将我的 m0n0wall 防火墙日志转发以进行测试,我注意到最近的防火墙日志条目表明它阻止了来自我的 ISP 的其他 WAN IP(我已检查)通过 TCP 端口 445 连接到我。为什么随机计算机会尝试通过显然用于 Windows SMB 共享的端口连接到我?只是互联网垃圾?端口扫描?
以下是我所看到的:
Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
为了自身安全,我隐藏了部分 IP 地址。
答案1
网络上有大量机器人(受感染机器上的蠕虫或病毒、在受感染机器上运行的扫描机器人等)正在寻找易受安全漏洞攻击或正在导出全球可访问共享内容的 SMB 服务器。您会在防火墙日志中看到该扫描流量的“环境背景噪音”。
没什么好担心的。只要阻止流量并继续前进(就像你对防火墙所做的那样)。这是当今互联网上的现实。
答案2
互联网是一个丛林,你可能会被吞噬。这些尝试很可能是随机的,会扫荡网络的各个部分,寻找开放端口,然后寻找可以利用的漏洞。你的防火墙正在发挥作用。注意不要对服务器的所有入站端口进行 NAT,只对你需要的端口进行 NAT,然后保护监听这些端口的应用程序并保持它们的最新状态。