Warum nähert sich Google meinem VPS-Computer?

36

Ich versuche, Netzwerkaktivitäten auf meinem Computer mit CentOS 7 zu verfolgen.

Laut iptables-Protokollen scheint sich Google (74.125.133.108) oft meinem VPS zu nähern.

Ich kann sehen, dass der Quellport immer 993 ist.

Was ist der Grund dafür?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables ishahak
quelle

Antworten:

101

Beachten Sie die ACK SYNauf dem ersten Paket in Ihrem Dump? Diese Flags kennzeichnen die zweite Stufe des Drei-Wege-TCP-Handshakes .

Da dieses Paket von Google stammt, zeigt es an, dass Google sich nicht "Ihrem VPS nähert". Ihr VPS stellt über Port 993 eine Verbindung zu Google her und Google sendet eine Bestätigung zurück.

Um dies weiter zu untersuchen, können Sie mit dem iptablesBefehl Details (einschließlich Prozess-IDs) von Verbindungen anzeigen, die derzeit aktiv sind. Sie können auch das Kernel-Audit-Subsystem verwenden , um ausgehende Verbindungen zu protokollieren, sobald sie auftreten.

David
quelle
10
Vielen Dank, dass Sie dieses Rätsel gelöst haben. In der Tat habe ich einen Prozess, der E-Mails von Google herunterlädt. Besonderer Dank für die Empfehlung des auditctl-Tools!
Ischahak
28

Port 993 ist für verschlüsselten IMAP-Verkehr vorgesehen.

Google Mail verfügt über eine Funktion, mit der externe IMAP-Server überprüft und diese E-Mails in Ihren Posteingang verschoben werden können.

Ich vermute daher, dass Ihre IP-Adresse zuvor die des E-Mail-Servers einer anderen Person war und diese Google Mail so konfiguriert hat, dass sie diesen Server auf ihre E-Mails überprüft. (Alternativ, aber mit geringerer Wahrscheinlichkeit, sind Sie "jemand", und Sie haben vergessen, dass Sie dies getan haben.)

ceejayoz
quelle
10
Dies könnte plausibel erklären , warum das Ziel wäre Port 993 / tcp sein, aber in OP Fall, es ist die Quelle - Port. Der Zielport ist 47920 / tcp.
ein Lebenslauf
6
@aCVn Was darauf hindeutet, dass das OP möglicherweise eine Verbindung zu Google herstellt, anstatt umgekehrt ...
marcelm
4
@marcelm Das ist in der Tat der Fall, wie durch die ACK SYNFlags im ersten Paket in der Liste angezeigt . Ich habe eine ausführlichere Erklärung als Antwort gepostet.
David
1
@marcelm Möglicherweise befindet sich auf dem Server Malware, die versucht, Spam über Google Mail zu senden.
Qwertie
2
@Qwertie: Die meisten Malware-Spam-Mails würden an SMTP-Ports gesendet (25/465/587) und würden sich nicht um IMAP kümmern.
Grawity