为什么人们尝试通过 TCP 端口 445 连接到我的网络?

为什么人们尝试通过 TCP 端口 445 连接到我的网络?

我正在使用我的新系统日志服务器,并将我的 m0n0wall 防火墙日志转发以进行测试,我注意到最近的防火墙日志条目表明它阻止了来自我的 ISP 的其他 WAN IP(我已检查)通过 TCP 端口 445 连接到我。为什么随机计算机会尝试通过显然用于 Windows SMB 共享的端口连接到我?只是互联网垃圾?端口扫描?

以下是我所看到的:

Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast

为了自身安全,我隐藏了部分 IP 地址。

答案1

网络上有大量机器人(受感染机器上的蠕虫或病毒、在受感染机器上运行的扫描机器人等)正在寻找易受安全漏洞攻击或正在导出全球可访问共享内容的 SMB 服务器。您会在防火墙日志中看到该扫描流量的“环境背景噪音”。

没什么好担心的。只要阻止流量并继续前进(就像你对防火墙所做的那样)。这是当今互联网上的现实。

答案2

互联网是一个丛林,你可能会被吞噬。这些尝试很可能是随机的,会扫荡网络的各个部分,寻找开放端口,然后寻找可以利用的漏洞。你的防火墙正在发挥作用。注意不要对服务器的所有入站端口进行 NAT,只对你需要的端口进行 NAT,然后保护监听这些端口的应用程序并保持它们的最新状态。

相关内容