Mac OS Xを実行していて、システムファイアウォールを有効にし、ステルスモードを有効にしています。システムコンソールを開くと、知らない場所から大量の接続試行がブロックされていることに気づきました。私はこれらの住所のいくつかと中国と日本からの住所の場所を確認しました。これらはほんの数例ですが、私は何百もの接続を試みました。 OS Xがその仕事をしていてブロックしているのは嬉しいですが、これは私が心配すべきことですか?これは通常ホームユーザーですか?とにかくこれらのポートには何がありますか?
10/7/11 12:29:47.319 PM Firewall: Stealth Mode connection attempt to TCP 192.168.1.102:49710 from 84.40.104.29:16960
10/7/11 12:29:48.078 PM Firewall: Stealth Mode connection attempt to TCP 192.168.1.102:49706 from 142.151.157.96:14082
10/7/11 12:29:52.792 PM Firewall: Stealth Mode connection attempt to TCP 192.168.1.102:49703 from 150.101.189.21:64929
10/7/11 12:29:57.067 PM Firewall: Stealth Mode connection attempt to TCP 192.168.1.102:49730 from 180.213.74.14:6002
10/7/11 12:29:59.388 PM Firewall: Stealth Mode connection attempt to TCP 192.168.1.102:49741 from 124.121.40.124:10502
はい、通常のバックグラウンドノイズです。これらのアドレスは、より多くのコンピュータに感染しようとしている感染したコンピュータに属している可能性が高いです。
時間がない場合は、whoisクエリ( web frontend )を実行して、感染したマシンについてサービスプロバイダーに連絡することができます。
ただし、最善の方法は、拒否された接続試行のログを無効にし、無視することです。彼らは重要なメッセージを埋めているだけです。
ポート番号をグーグル(たとえば、「tcp 49741」を検索)すると、それらのポートでリッスンしているトロイの木馬/バックドアがどれであるかがわかる参照につながることがよくあります。例えば。 SANSのポート49741 -ただし、最近のスキャン頻度を超えて、この特定のポートに関する情報はありません。
前回インターネットに接続しているファイアウォールのログを確認したとき、これらの種類の接続試行がトンありました。これらはおそらく、脆弱なマシンが引き継ぐためにスキャンしているボットからの自動スキャンです。これらは定数ノイズです。
心配する必要のある接続の試みは、ファイアウォールによって停止されていない接続の試みです。私はOS Xのステルスモードに精通していません-WANに公開されているどのサービスを開いていますか? TCP 22(SSH))を使用していますか?ポート22のファイアウォールでレート制限が有効になっていますか?
また、質問に貼り付けるためにIPアドレスを書き換えましたか、またはWANトラフィックがNATアドレスに転送されていますか?後者の場合、ルーターにフィルターをアクティブにして、LANに入る敵対的なトラフィックがそれほど多くないようにしてください。絶対に必要なサービスのみを転送してください。