Назад | Перейти на главную страницу

Брандмауэр блокирует некоторые странные сообщения от порта источника 22 до IP-адресов за рубежом. Я должен быть обеспокоен?

Я отвечаю за сервер, который обслуживает одну службу (ssh) через Интернет через переадресацию портов через брандмауэр.

Вход в службу ssh ограничен только ключом шифрования (пароли не допускаются).

Несколько раз в неделю я вижу такой журнал брандмауэра (конечно, слегка запутанный):

[UFW BLOCK] IN= OUT=eth0 SRC=192.168.x.x DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0

Исходный порт всегда равен 22, а IP-адрес назначения всегда находится за границей (в данном случае Корея), что кажется вредоносным.

У меня сервер практически заблокирован, но я недостаточно знаю о протоколах SSH и TCP, чтобы быть уверенным, и мне не нравится тот факт, что похоже, что мой сервер пытается связаться с незнакомцем. Такое общение никогда не происходит во время законного сеанса ssh.

Я должен быть обеспокоен? Есть ли что-нибудь еще странное в этом бревне, чего не заметили мои глаза?

Изменить: я пробовал несколько простых вещей (например, попытка аутентификации пароля), чтобы воспроизвести заблокированное соединение с помощью клиента ssh, но безуспешно. Было бы неплохо, если бы я мог воспроизвести это.

Ваша система принимает пакет попытки подключения с этого зарубежного IP-адреса на порт 22, но затем пакет ответа блокируется. Исходный порт 22 и SYN и ACK флаги на пакете показывают, что он пытается ответить на попытку подключения и блокируется.

В зависимости от того, как вы настроили свои правила (используете ли вы ufw, как вы этим пометили вопрос? Или прямо iptables? Можете ли вы предоставить свои правила?), То это может быть, а может и не быть ожидаемым способом сбоя этой попытки подключения. Но попытка подключения не удалась, так что вы здесь.

Еще одно предложение, не имеющее прямого отношения к вашему запросу, но тем не менее важное. Если у вас есть ssh-сервер, подключенный к Интернету, я настоятельно рекомендую вам перейти на вход только на основе сертификата, не допускать входа в систему с root-доступом по ssh и, как всегда, установить блокировку на 5 или меньше.

Дополнительно я бы посоветовал установить ssh-сервер на другой и временный порт порта, то есть 2222, это обычно резко снижает трафик к ssh-серверу из-за того, что хакеры обычно сканируют большие полосы ip-блоков для открытого порта 22, в частности, просто чтобы попробовать их путь в ваши сети.

Надеюсь, это поможет..

Округ Колумбия