中间人攻击,还是其他什么?

tag-icon tag-icon ssl ddos netstat
中间人攻击,还是其他什么?

我想知道是否有人可以帮助我解决这个问题。

我们有一个仅可通过 https:// 端口 443 使用的 Web 服务。

使用 netstat 我看到有特定的 IP 尝试连接到服务器。

例如,所有其他连接都从其端口连接到服务器的 443 端口(正常的 https 行为)。

这个特定的 IP:192.0.73.2,尝试打开从远程端口 443 到本地端口的连接。(其状态始终为 TIME_WAIT,它会消失,然后在大约一分钟后恢复为 TIME_WAIT。

我公开举报这个 IP 是因为它之前已经在这里被举报过: https://www.abuseipdb.com/check/192.0.73.2

公司网络有 CISCO 防火墙保护,我的系统管理员告诉我,他找不到从该 IP 到服务器的任何匹配。但 netstat 工具报告的情况并非如此。

你能给我一些建议吗?或者告诉我发生了什么?谢谢!

这就是 netstat 命令显示的内容:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 server_ip:32884         192.0.73.2:443      TIME_WAIT
tcp6       0  69000 server_ip:443           remote_ip:65045     ESTABLISHED
tcp6       0      0 server_ip:443           remote_ip:20467     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:55430     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:65248     ESTABLISHED

谢谢大家帮我解决这个问题。毕竟这是对 Gravatar 的调用

答案1

对 192.0.73.2 的正常访问将重定向到https://en.gravatar.com/。 这是确实不是 MITM 攻击。

您的网站正在使用 Gravatar 模块,并尝试连接到其服务器以收集数据,即用户头像用于评论。您不必担心,因为它会在 TIMED_WAIT 之后死机,因此无法连接到服务器。

您不必担心,因为防火墙没有检测到 IP。最好修复尝试访问 Gravatar 的模块并允许访问它。

答案2

可能没有人尝试连接到443本地上部端口。连接通常源自动态端口范围(49152 到 65535)。是32884始终32884还是实际上始终在该范围内?

IP 地址192.0.73.2主机wordpress.comgravatar.com。您的服务器更有可能连接到该服务器以收集一些信息。我们无法知道详细信息,因为我们不了解您的网站及其用途。

答案3

这是一出站连接,您的服务器正在连接到远程地址,而不是相反。这通常意味着:您有一些后台服务将数据发送到某个地方。要找出进程是什么,请使用 netstat(具有 root 权限):

netstat -tulpn

如果你在输出中没有看到它,请尝试(也可以以 root 身份):

lsof -i tcp

这将显示所有具有相关进程名称的连接。找到您的传出连接,查看进程。

举个例子,我的服务器定期维护与外部 https 端口的出站连接,因为我正在运行 Nginx Amplify,并且需要向其报告服务器统计信息。

您可以在我的服务器的当前输出(已编辑)中看到此示例:

joe@testbed~$ sudo lsof -i tcp
COMMAND     PID      USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
amplify-a  6355  user-nam   14u  IPv4  7657189     0t0  TCP testbed.avx.local:36970->ec2.us-west-1.compute.amazonaws.com:https (ESTABLISHED)

我的服务器正在从随机端口向 https 端口建立出站连接,就像您的一样。运行命令,找到进程,然后您就可以确定它是否是恶意的。

答案4

IP 192.0.73.2 今天也出现在我的防火墙中。它确实来自 gravatar。

IP 被捕获的原因是 TCP 连接同时具有 syn 和 fin 标志,而我的防火墙将这些连接添加到列表中。来自https://www.juniper.net/documentation/en_US/junos/topics/concept/tcp-syn-fin-flags.html

SYN 和 FIN 控制标志通常不会同时设置在同一个 TCP 段头中。SYN 标志同步序列号以启动 TCP 连接。FIN 标志表示数据传输结束以完成 TCP 连接。它们的用途是互斥的。设置了 SYN 和 FIN 标志的 TCP 头是异常的 TCP 行为,会导致接收方做出各种响应,具体取决于操作系统

相关内容