Linux Centos 上的端口扫描临时阻止

tag-icon tag-icon linux centos firewall port-scanning
Linux Centos 上的端口扫描临时阻止

我正在运行 VPS 服务器(Linux CentOS)来为我的客户提供网络托管。

昨天,我的一个客户端被我服务器上的 LFD 防火墙挡住了:

我收到了一封服务器管理员电子邮件通知,其主题如下:

lfd on vps.audetwebhosting.net: 24.2.190.167 
(US/United States/c-24-2-190-167.hsd1.ct.comcast.net) 
blocked for port scanning

并且正文包含如下内容:

Time: Sun Mar 31 11:29:35 2013 -0400
IP: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net)
Hits: 11
Blocked: Temporary Block

Sample of block hits:
Mar 31 11:28:22 vps kernel: [2760494.944535] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=14772 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 31 11:28:23 vps kernel: [2760496.050542] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=28408 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0

我的客户并不是那么精通技术,所以我不认为他们会随便在他们的 Mac 笔记本电脑上运行端口扫描。

我猜测可能发生的情况是:

(1)客户端笔记本电脑感染病毒,正在进行端口扫描

(2)客户端打开控制台窗口并尝试 ping 其网站

(3)一些黑客正在占用客户端 WiFi 连接

(4)客户端访问了一个带有执行端口扫描的 Web 应用程序的网站

(5)客户端的某些防火墙/反恶意软件可能正在进行端口扫描

(6)客户端有一个扫描端口的路由器

我想知道有人怎么会意外触发防火墙的端口扫描类型的响应?

我是一名网络程序员,不是 Linux 专家,所以我甚至不知道如何最好地提出这个问题。感谢您的耐心。

答案1

LFD 是 CSF 防火墙的“登录失败守护进程”,它会阻止登录尝试失败的 IP。来自http://www.configserver.com/cp/csf.html

To complement the ConfigServer Firewall (csf), we have developed a Login Failure Daemon (lfd) process that runs all the time and periodically (every X seconds) scans the latest log file entries for login attempts against your server that continually fail within a short period of time. Such attempts are often called "Brute-force attacks" and the daemon process responds very quickly to such patterns and blocks offending IP's quickly. Other similar products run every x minutes via cron and as such often miss break-in attempts until after they've finished, our daemon eliminates such long waits and makes it much more effective at performing its task.

来自您的电子邮件通知:

DPT=587
DPT=587

只要 LFD 没有指定其他目标端口,这似乎就不是端口扫描。端口 587 是 SMTP 邮件提交端口。他似乎试图登录您的 SMTP,但登录失败,并且由于几次登录尝试失败,LFD 阻止了他的 IP。这可能是由于他在电子邮件客户端中指定了错误的密码造成的。

答案2

有一些选择不太可能:

(2) Ping 不被视为端口扫描。有些管理员喜欢将他们的机器配置为完全忽略 ping,但据我所知,没有防火墙会将 ping 视为端口扫描。

(4) 有些 Web 应用程序可以执行端口扫描,但它们仅扫描使用该应用程序的主机,以便向其提供有关此防火墙状态的报告。我认为没有任何 Web 应用程序允许对不同目的地执行端口扫描。

(5) 据我所知,没有防火墙可以在安装它的机器以外的机器上执行端口扫描。

(6)路由器也是如此。

在尝试任何技术分析之前,最好的办法可能是询问客户他做了什么。他可能已经阅读了有关nmap并决定检查你的服务器。如果他无法判断是什么导致了防火墙的这种反应,那么他应该检查他的笔记本电脑和网络的安全性。在我看来,你在服务器端能做的最好的事情就是运行网络嗅探工具(例如沙克),但是,这样做您唯一能获得的附加信息就是究竟扫描了哪些端口。您的防火墙日志中已经有了滥用 IP 地址,但您无法从中判断该客户端是自己做的,还是计算机上的病毒做的,还是与该客户端来自同一内部网络的其他人做的。

相关内容