查看我的 iptables 日志,有数百个不同的 IP 尝试访问端口 45702,但 Google 似乎了解的不多。
它们总是按 IP 块到达
Jun 3 00:59:49 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:59:42 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:59:39 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:59:38 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:54:35 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:54:33 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:54:31 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:39 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:33 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:30 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:29 76.108.181.238 32253 in 130.88.149.86 45702 UDP
有人知道这是什么吗/除了确保它关闭之外还有什么建议吗?
如果它是一个无用的端口,为什么所有这些 IP 都会访问它?
编辑:
现在它突然换到了另一个端口,仍然有很多不同的 IP
Jun 3 02:02:19 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:11 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:07 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:05 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:04 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:02 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:03 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:01 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:00 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 01:52:52 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 01:52:44 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 01:52:38 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 01:52:40 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 02:27:06 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:27:05 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:27:04 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:27:03 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:17:05 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Jun 3 02:16:57 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Jun 3 02:16:53 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Jun 3 02:16:51 194.144.100.212 60288 in 130.88.149.86 47515 TCP
我很困惑,但我猜它被抓住了,所以没关系,
我不明白的是为什么有大量不同的 IP 尝试做同样的事情,我猜有人使用代理每隔几分钟更改一次 IP,并且非常喜欢 45000 以上的端口(因为大量关键服务都在那里运行?!?)。
答案1
Bittorrent 客户端使用如此高的端口是很常见的。如果网络上有人使用这样配置的客户端,那么传入的连接尝试可能是其他客户端试图与其通信。也可能是某个常见客户端中存在可远程利用的漏洞(我没听说过,但这并不意味着不存在多个漏洞),那么流量可能有点试图寻找该客户端的正在运行的副本以尝试利用。
据我所知,如果这些连接与 bittorrent 相关,那么这些连接会通过 TCP 从同一源分块进入同一端口,这似乎很奇怪,但对于 UDP 来说这并不那么奇怪(如果您的防火墙默默地丢弃数据包而不是发送错误响应,则可能会发送多个初始数据包,以防早期的数据包因暂时故障而丢失)。
在任何情况下,netcat
按照 Xerxes 的建议使用来查看传入的内容都会给你一些线索,除非流量采用了正确加密的协议(即使如此,在打开握手尝试中也可能存在线索)。