Я отвечаю за сервер, который обслуживает одну службу (ssh) через Интернет через переадресацию портов через брандмауэр.
Вход в службу ssh ограничен только ключом шифрования (пароли не допускаются).
Несколько раз в неделю я вижу такой журнал брандмауэра (конечно, слегка запутанный):
[UFW BLOCK] IN= OUT=eth0 SRC=192.168.x.x DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0
Исходный порт всегда равен 22, а IP-адрес назначения всегда находится за границей (в данном случае Корея), что кажется вредоносным.
У меня сервер практически заблокирован, но я недостаточно знаю о протоколах SSH и TCP, чтобы быть уверенным, и мне не нравится тот факт, что похоже, что мой сервер пытается связаться с незнакомцем. Такое общение никогда не происходит во время законного сеанса ssh.
Я должен быть обеспокоен? Есть ли что-нибудь еще странное в этом бревне, чего не заметили мои глаза?
Изменить: я пробовал несколько простых вещей (например, попытка аутентификации пароля), чтобы воспроизвести заблокированное соединение с помощью клиента ssh, но безуспешно. Было бы неплохо, если бы я мог воспроизвести это.
Ваша система принимает пакет попытки подключения с этого зарубежного IP-адреса на порт 22, но затем пакет ответа блокируется. Исходный порт 22 и SYN
и ACK
флаги на пакете показывают, что он пытается ответить на попытку подключения и блокируется.
В зависимости от того, как вы настроили свои правила (используете ли вы ufw
, как вы этим пометили вопрос? Или прямо iptables
? Можете ли вы предоставить свои правила?), То это может быть, а может и не быть ожидаемым способом сбоя этой попытки подключения. Но попытка подключения не удалась, так что вы здесь.
Еще одно предложение, не имеющее прямого отношения к вашему запросу, но тем не менее важное. Если у вас есть ssh-сервер, подключенный к Интернету, я настоятельно рекомендую вам перейти на вход только на основе сертификата, не допускать входа в систему с root-доступом по ssh и, как всегда, установить блокировку на 5 или меньше.
Дополнительно я бы посоветовал установить ssh-сервер на другой и временный порт порта, то есть 2222, это обычно резко снижает трафик к ssh-серверу из-за того, что хакеры обычно сканируют большие полосы ip-блоков для открытого порта 22, в частности, просто чтобы попробовать их путь в ваши сети.
Надеюсь, это поможет..
Округ Колумбия