我希望你们能帮忙解释一下这里发生的事情。
我最近设置了一些出口过滤规则,以防止网络上出现不必要的出口连接。这样做时,我看到一些奇怪的流量,看起来像是有一些流量从 TCP 端口 25 离开我的电子邮件服务器,目的地是 TCP 6666/6667。
在过去 11 天左右的时间里,这种连接只发生过 3 或 4 次,而且看起来好像发送了 8 到 15 个数据包,仅此而已。IP 之间似乎没有持久的连接,而且我无法netstat -ab在连接发生时运行命令来尝试找出哪个进程正在启动连接。
服务器受到严格控制,运行有反垃圾邮件和反病毒软件,不用于浏览互联网或类似操作。Windows 补丁每月安装一次,我没有看到任何表明系统是僵尸网络一部分的行为(没有过多的 MS Exchange 队列)。
有谁能告诉我发生了什么,或者能告诉我如何才能发现这里发生了什么吗?我希望发生的事情是外部服务器正在启动该端口上的通信,而电子邮件服务器只是响应请求,但我不确定情况是否如此。防火墙是带有 RouterOS 的 Mikrotik。
路由器中的日志如下所示
in:ether1 out:ether12, src-mac:00:0C:65:12:92:12, proto TCP(ACK,FIN) 172.16.0.10:25->205.211.XXX.XXX:6666 NAT(172.16.0.10:25->YYY.YYY.YYY.YYY:25->205.211.XXX.XXX:6666 len 52
172.16.0.10 = 私人电子邮件服务器 IP
205.211.XXX.XXX = 目标 IP
YYY.YYY.YYY.YYY = 我们的公共 IP
答案1
它看起来像是传入请求而不是传出请求。服务器不太可能从端口 25 创建传出连接。
正如注释中所述,FIN 数据包仅表示正在关闭连接。另一台服务器可能发送了一条消息,或者尝试发送了一条消息,但在关闭连接之前没有等待响应。如果延迟时间足够长,那么在路由器看来,关闭就像是带有无效标志的新对话。
您的邮件日志可能会在防火墙日志中的时间之前几分钟显示传入连接。