Ich habe mit meinem neuen Syslog-Server gespielt und meine m0n0wall-Firewall-Protokolle als Test weitergeleitet. Ich habe kürzlich eine Reihe von Firewall-Protokolleinträgen festgestellt, die besagen, dass andere WAN-IPs von meinem ISP (ich habe dies überprüft) die Verbindung zu mir über den TCP-Port blockiert haben 445. Warum sollte ein zufälliger Computer versuchen, über einen Port, der anscheinend für Windows SMB-Freigaben verwendet wird, eine Verbindung zu mir herzustellen? Nur Internetmüll? Ein Port-Scan?
Folgendes sehe ich:
Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Ich habe einen Teil meiner IP-Adresse zu meiner eigenen Sicherheit verdunkelt.
Antworten:
Es gibt viele, viele Roboter (Würmer oder Viren auf infizierten Computern, Scan-Bots auf gefährdeten Computern usw.) im Internet, die nach SMB-Servern suchen, die für Sicherheitslücken anfällig sind oder weltweit zugängliche Freigaben exportieren. In Ihren Firewall-Protokollen wird das "Umgebungsgeräusch" dieses Scan-Datenverkehrs angezeigt.
Es gibt nichts zu beunruhigen. Blockieren Sie einfach den Datenverkehr und fahren Sie fort (wie Sie es mit Ihrer Firewall tun). Das ist heute im Internet eine Tatsache.
quelle
Das Internet ist ein Dschungel, und Sie können gegessen werden. Bei diesen Versuchen handelt es sich höchstwahrscheinlich um zufällige, umfassende Segmente von Netzwerken, die nach offenen Ports suchen und dann Schwachstellen ausnutzen. Ihre Firewall macht ihren Job. Stellen Sie sicher, dass Sie nicht ALLE eingehenden Ports zu einem Server NAT, sondern nur die, die Sie benötigen. Schützen Sie dann die Anwendungen, die diese Ports überwachen, und halten Sie sie auf dem neuesten Stand.
quelle