Warum versuchen Leute, über TCP-Port 445 eine Verbindung zu meinem Netzwerk herzustellen?

7

Ich habe mit meinem neuen Syslog-Server gespielt und meine m0n0wall-Firewall-Protokolle als Test weitergeleitet. Ich habe kürzlich eine Reihe von Firewall-Protokolleinträgen festgestellt, die besagen, dass andere WAN-IPs von meinem ISP (ich habe dies überprüft) die Verbindung zu mir über den TCP-Port blockiert haben 445. Warum sollte ein zufälliger Computer versuchen, über einen Port, der anscheinend für Windows SMB-Freigaben verwendet wird, eine Verbindung zu mir herzustellen? Nur Internetmüll? Ein Port-Scan?

Folgendes sehe ich:

Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast

Ich habe einen Teil meiner IP-Adresse zu meiner eigenen Sicherheit verdunkelt.

ianc1215
quelle
Warum dieser Port: linklogger.com/TCP445Scan3.htm
user53747

Antworten:

4

Es gibt viele, viele Roboter (Würmer oder Viren auf infizierten Computern, Scan-Bots auf gefährdeten Computern usw.) im Internet, die nach SMB-Servern suchen, die für Sicherheitslücken anfällig sind oder weltweit zugängliche Freigaben exportieren. In Ihren Firewall-Protokollen wird das "Umgebungsgeräusch" dieses Scan-Datenverkehrs angezeigt.

Es gibt nichts zu beunruhigen. Blockieren Sie einfach den Datenverkehr und fahren Sie fort (wie Sie es mit Ihrer Firewall tun). Das ist heute im Internet eine Tatsache.

Evan Anderson
quelle
Ich sehe also nur zufällige Sweeps nach möglichen Löchern, gut zu wissen.
ianc1215
Es tut mir leid für all die Leute, die SMB für die Welt öffnen, schlechte Idee ...
ianc1215
@ Solignis: Sie können viele interessante Dinge über diese Art von Angriffen mit Honigtöpfen sehen. Ein Mitarbeiter von mir betreibt einen SSH-Honeypot und die Abschriften der Sitzungen, die er daraus erhält, sind Comedy-Gold. Er sammelt auch eine große Anzahl von Exploit-Codebeispielen, indem er verschiedene andere Arten von Honeypots ausführt, die anfällige Dienste emulieren.
Evan Anderson
Wow, das ist eine großartige Idee, wenn sie richtig gesichert ist. Ich bin sicher, er lernt viel aus dem, was er sieht.
ianc1215
@ Solignis: Die von ihm verwendete Serversoftware ist sehr "gepanzert" gegen Angriffe und er verwendet keine "echte" Serversoftware, um den Honeypot auszuführen (dh der SSH-Server ist kein wirklicher SSH-Server - es ist ein Python-Skript, das als ausgeführt wird nicht privilegierter Benutzer, der einen High-Port mit Verbindungen abhört, die über iptables von Port 22 usw. umgeleitet werden). Ich sage dir, die SSH-Transkripte sind Comedy-Gold! > Lächeln <
Evan Anderson
7

Das Internet ist ein Dschungel, und Sie können gegessen werden. Bei diesen Versuchen handelt es sich höchstwahrscheinlich um zufällige, umfassende Segmente von Netzwerken, die nach offenen Ports suchen und dann Schwachstellen ausnutzen. Ihre Firewall macht ihren Job. Stellen Sie sicher, dass Sie nicht ALLE eingehenden Ports zu einem Server NAT, sondern nur die, die Sie benötigen. Schützen Sie dann die Anwendungen, die diese Ports überwachen, und halten Sie sie auf dem neuesten Stand.

SpacemanSpiff
quelle
Wir neuen Fische können nie zuerst etwas beantworten :)
SpacemanSpiff
1
Ja, ich bin immer ein bisschen paranoid, wenn es darum geht, Ports zu öffnen, zum Beispiel KEIN SSH direkt ins Internet, ich benutze ein VPN.
ianc1215
@solignis das ist eine kluge Prozedur, die auch zu befolgen ist.
Jacob