我负责一个服务器,该服务器通过防火墙通过端口转发在互联网上提供单一服务(ssh)。
ssh 服务登录仅限于加密密钥(不允许使用密码)。
每周我都会看到几次以下类型的防火墙日志(当然有点模糊):
[UFW BLOCK] IN= OUT=eth0 SRC=192.168.x.x DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0
源端口始终为 22,而目标 IP 始终是海外(在本例中为韩国)的看似恶意的 IP。
我已经将服务器完全锁定,但我对 SSH 和 TCP 协议了解不够多,因此不太有信心,而且我不喜欢我的服务器看起来像是在尝试联系陌生人。这种通信在合法的 ssh 会话期间永远不会发生。
我应该担心吗?那根木头上还有什么我没发现的奇怪之处吗?
编辑:我尝试了一些简单的事情(例如尝试密码验证)来使用 ssh 客户端重现被阻止的连接,但没有成功。如果我能重现它就太好了。
答案1
您的系统正在端口 22 上接受来自该海外 IP 地址的连接尝试数据包,但响应数据包被阻止。数据包上的源端口 22 和标志SYN
表明ACK
它正在尝试响应连接尝试,但被阻止。
根据您配置规则的方式(您使用的是ufw
,因为您已用 标记了问题?还是直接使用iptables
?您能提供您的规则吗?),那么这可能是也可能不是此尝试连接失败的预期方式。但连接尝试失败了,所以您已经解决了。
答案2
另一个建议与您的查询没有直接关系,但同样重要。如果您有面向互联网的 ssh 服务器,我强烈建议您更改为仅基于证书的登录,确保没有来自 ssh 的 root 登录,并像往常一样将锁定设置为 5 或更低。
此外,我建议将 ssh 服务器放在不同的、短暂的端口上,即 2222,这通常会大大安静到 ssh 服务器的流量,因为黑客通常会扫描大片 IP 块以查找开放端口 22,只是为了尝试进入您的网络。
我希望这有帮助。
直流