我运营一个使用 Wordpress 自托管的博客。我经常收到 LFD 发来的有关 UDP_IN 阻塞的电子邮件通知。我通常每天会收到 10 多封有关该问题的电子邮件。
电子邮件如下所示:
时间:
IP:
点击数: 11 屏蔽: 暂时屏蔽阻止命中示例:主机内核:防火墙:UDP_IN 被阻止IN=venet0 OUT= MAC= SRC=xxxx DST=xxxx LEN=xxx TOS=0x00 PREC=0x00 TTL=xxx ID=xxxxx PROTO=UDP SPT=xxx DPT=xxx LEN=xxx
几乎每次被阻止的 IP 地址都不同。我想知道这是某种攻击还是误报?
提前致谢。
答案1
这是通常用于协商 IPSec VPN 的端口,因此这可能是机器人在互联网上搜索可以利用的配置错误的 VPN 和/或可以入侵的安全性较弱的 VPN 的结果。
具体来说:
端口号:500
TCP/UDP:UDP
交付:否
协议/名称:isakmp
端口说明:isakmp。在 FW-1 VPN 中使用 ISAKMP 或 IPSEC 加密进行密钥交换和同步。FW-1 端口:tcp 256、tcp/udp 259、udp 500、tcp 900。
所以,是的,这是一种攻击,但不,你不需要担心任何事情(除非你出于某种原因从你的网络服务器运行 VPN 服务器)。