web-dev-qa-db-ja.com

私のISPは自分のコンピューターでポートスキャンを行っていますか?

私はしばらくiptablesを使用して着信接続をログに記録しており、定期的に次のポップアップが表示されるのを観察しています。

11:45:10 my.com kernel: IPTABLES: SRC=220.255.XX.XXY DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=50687 PROTO=TCP SPT=443 DPT=54102 SEQ=21105 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:10 my.com kernel: IPTABLES: SRC=220.255.XX.XXZ DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=50688 PROTO=TCP SPT=443 DPT=54102 SEQ=21105 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:25 my.com kernel: IPTABLES: SRC=220.255.XX.XXY DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49686 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXA DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49687 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXB DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=51681 PROTO=TCP SPT=443 DPT=54202 SEQ=21107 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

すべてのソースIPはISPからのものであり、何らかのHTTPSサービスを実行しており、高いポート番号を介してコンピューターと通信しようとしているようです。

内部的には、Webサーバーをテストしており、ルーターを開いてHTTPおよびHTTPS接続を受け入れています。 ISPからのこれらのパケットの意味と、セキュリティに影響があるかどうか知りたいです。

portsiptablestcp
3
Question Overflow

使用しているLinuxのバージョンと、これらのメッセージが記録される原因となっているiptables構成はどのようになっていますか?

別の可能な説明を提供できます。

パケットには、RSTフラグが設定されているようです。

11:45:26 my.comカーネル:IPTABLES:SRC = 220.255.XX.XXA DST = 192.168.1.2 LEN = 40 TOS = 0x00 PREC = 0x00 TTL = 57 ID = 49687 PROTO = TCP SPT = 443 DPT = 54100 SEQ = 21106 ACK = 0 WINDOW = 0 RES = 0x00 [〜#〜] rst [〜#〜] URGP = 0

これは、220.255から、ポート443からRST応答が返されることを意味します。サイドのポート数の増加により、ここに表示されているのは、220.255ホストがtcp/ip接続の試行を拒否しているということです。

ファイアウォールの設定が、送信しているSynパケットにそれらを正しく関連付けていない可能性があります。 iptablesの設定によっては、これが「正常」であるか、接続追跡のESTABLISHED/RELATED状態の古いバージョンのバグの原因です。

これをさらに調査するには、それぞれのインターフェイスでポート443に対してtcpdumpを実行し、これが本当にそうであるか、または誰かが迷惑なRSTパケットを送信していないかどうかを確認することをお勧めします。

余談ですが、特定のIP範囲を持つ一部のサーバーでもこのような動作が見られます。一般的に使用される一部のWebサービスのDNSローテーションには、実際にはサービスが実行されていないIPアドレスが含まれているため、これらはすべて送信されるRSTパケットです。

7
PlasmaHH

トラフィックがポート443から発信されるのは珍しいことです。多くの場合、これは、both方向。

表示されている可能性が最も高いのは、ポートスキャンを試みる攻撃です(宛先ポートがランダムまたは連続したポートを試行していると想定しています)。 IPアドレスは、それを所有する機関に報告する必要があります。その上でIP-whoisを実行し、ログをabuse連絡先アドレスに転送します。

1
deed02392