在我们的防火墙日志中注意到,每 5 分钟从我们的 Web 服务器不断建立三个连接,并尝试将数据包发送到目标端口 43(whois 端口),循环通过所有源端口(即 59466、59467、59468,然后 5 分钟后是接下来的 3 个端口)到 3 个不同的 IP 地址...:
193.0.6.135, 200.3.14.10, 196.216.2.130
Ripe、Lacnic 和 Afrinic
我知道这 3 家公司都是互联网 IP 注册商,但它每 5 分钟循环发送数据包到我们所有的源端口,这看起来很奇怪。在我看来,这像是反向端口扫描。这是正常的吗?
编辑:
TCPDUMP 输出,这个输出只相隔 2 分钟。注意到有些补丁会在同一分钟内连续运行 20 次。速度和频率各不相同,但没有看到间隔大于 5 分钟的。
[user@xxxxxxx xxxxxxx]# tcpdump -v -s 5000 -i eth0 port 35921 or port 35920 or port 35919 or port 35916 or port 35917 or port 35918
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 5000 bytes
08:56:33.517976 IP (tos 0x0, ttl 64, id 8127, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35916 > whois.ripe.net.nicname: S [tcp sum ok] 2154741398:2154741398(0) win 5840 <mss 1460,sackOK,timestamp 67215657 0,nop,wscale 9>
08:56:33.520288 IP (tos 0x0, ttl 64, id 59697, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35917 > registro.lacnic.net.nicname: S [tcp sum ok] 2139834394:2139834394(0) win 5840 <mss 1460,sackOK,timestamp 67215659 0,nop,wscale 9>
08:56:33.522705 IP (tos 0x0, ttl 64, id 33392, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35918 > whois.afrinic.net.nicname: S [tcp sum ok] 2140808030:2140808030(0) win 5840 <mss 1460,sackOK,timestamp 67215662 0,nop,wscale 9>
08:58:32.773110 IP (tos 0x0, ttl 64, id 28764, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35919 > whois.ripe.net.nicname: S [tcp sum ok] 2259878735:2259878735(0) win 5840 <mss 1460,sackOK,timestamp 67334931 0,nop,wscale 9>
08:58:32.776580 IP (tos 0x0, ttl 64, id 44263, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35920 > registro.lacnic.net.nicname: S [tcp sum ok] 2259083248:2259083248(0) win 5840 <mss 1460,sackOK,timestamp 67334935 0,nop,wscale 9>
08:58:32.778395 IP (tos 0x0, ttl 64, id 39072, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35921 > whois.afrinic.net.nicname: S [tcp sum ok] 2267212728:2267212728(0) win 5840 <mss 1460,sackOK,timestamp 67334936 0,nop,wscale 9>
答案1
流量本身可能是合法的,但每五分钟运行一次可能不是。
这看起来像标准的 whois 流量;它正在通过 whois 端口发送,并且正在发送到官方 whois 服务器。
然而,每隔五分钟就会发生一次查询,这表明查询是由一个自动化过程进行的。注册中心不会喜欢这种做法,如果查询次数过多,他们可能会切断你的连接。
您可能会发现捕获流量内容并检查它们以查看实际查询的 whois 记录很有用。这可能会为您提供有关查询来源的线索。
如果服务器运行的是 Linux,您可能能够编写一个 systemtap 脚本来查找发起查询的进程。
(源端口无关紧要;这是操作系统的选择。如果您想了解有关该非问题的更多详细信息,请阅读 TCP/IP Illustrated 或其他优秀的 IP 参考资料。)
答案2
我发现我的服务器上的脚本访问了这些 whois 服务器来更新其配置。也许这与它很可能是合法的/usr/local/cpanel/scripts/update_spamassassin_config
有关。spamassassin
如果它在服务器上运行,spamassassin
请检查其更新间隔。