ルータがアドレスローテーションの後でも同じIPおよびポートから不明なパケットを受信する-方法

クライアントのルーターの1つが、同じ送信元IPアドレスとポートから繰り返しパケットを受信して​​います。ルーターが再起動されて動的に割り当てられた新しいIPアドレスを取得し、他のトラフィックや接続はまだ確立されていません。ルーターは、許可されていないすべての着信パケットを警告なしで破棄するように構成されており、許可されていない着信パケットに応答しません（ブラックホール、ハーフACKなし）。

問題のIPは、ベリーズで登録されている45.227.254.22です。送信元ポートは常に同じ（TCP 52383）ですが、接続しようとする宛先ポートは異なる場合があり、TCP 20000から開始してそこから上がることができます。

ルーターがインターネット経由で毎日受信するランダムなping、スキャン、ポークのthousandsのうち、これはonlyのログに繰り返し永続的に表示されるアドレスです、およびクライアントのルーター自体が再起動され、ISPから以前に未知のIPが新たに割り当てられ、他の送信または受信接続がまだ行われていない場合でも、接続の試行が続行されます。

そのIPアドレスに存在するものはルーターの後に続いているように見えます。

ログからのサンプル：

プライバシーを保護するために、クライアントのIPは00.00.00.00として匿名化されています。クライアントルーターは北米（YYZ）にあります。

20:45:31.495556 IP 45.227.254.22:52383 > 00.00.00.00:48801: Flags [S], seq 1102121663, win 1024, length 0

20:45:42.621963 IP 45.227.254.22:52383 > 00.00.00.00:31373: Flags [S], seq 3756604334, win 1024, length 0

質問：

1. 何が原因でしょうか？

2. 常にクライアントのルーターをどのようにして見つけるのですか？

FAQ：

（これはFAQ必要に応じて更新されます）

Q.ルータ、クライアント、またはISPを管理および運用しているのは誰ですか。

A.ルータはクライアントによって完全に管理および操作されます。

注：以下の@ samy-kamkarによって提供される答えは、典型的なスキャンボットの動作はよく知られており、早い段階で除外されていたため、正しい答えとは見なされません。この投稿の前に、IPはAbuseIPデータベースおよびその他の場所で調査されました。それは確かに疑わしいIPです。ただし、すでに他のユーザーから報告されているため、単なるスキャンボットであるとは限りません。

疑わしいIPには、スキャン、ブルートフォース、ハッキングの試みなど、さまざまな悪意のある動作があることが知られています。

クライアントのルーターは、スキャン、ping、prods、pokes、さらには火星のパケットでさえ、24時間年中無休で攻撃されています。これは、公共のインターネットに接続されているものなら何でも普通と考えられています。この特定の状況は、通常のボットを指し示していません。何千もの未知のインバウンド接続試行のうち、これは、動的に割り当てられた広範囲のIPアドレスにわたって迅速かつ繰り返し出現する、他のすべての中で唯一の永続的な不審なIPアドレスです。

ISPによって顧客に割り当てられた多様なネットワークブロックのため、クライアントがターゲットとしているクライアントIPポテンシャルは非常に大きく、数万の可能性のオーダーです。

例として、1つの接続は10.11.0.0-10.11.255.255の範囲から割り当てられ、別の再接続は20.30.0.0-20.30.255.255の範囲から割り当てられ、さらに別の再接続は範囲から割り当てられます40.50.0.0-40.50.255.255のようになり、そのような可能な範囲は数十あります。疑わしい接続でも、さまざまな宛先ポートが試行されますが、常に同じ送信元ポートから試行されます。この動作は、クライアントのルーターを攻撃する他のスキャンとは異なります。

クライアントルーターがランダムに広大な範囲から動的に割り当てられた新しいアドレスでインターネットに接続する場合、疑わしいIPは30秒以内に試行を開始します。それは正常ではありません。