Я играл со своим новым сервером системного журнала, и мои журналы брандмауэра m0n0wall были отправлены в качестве теста, я заметил кучу недавних записей журнала брандмауэра, в которых говорится, что он заблокировал другие IP-адреса WAN от моего интернет-провайдера (я проверил) от подключения ко мне через порт TCP 445. Почему случайный компьютер пытается подключиться ко мне через порт, очевидно используемый для общих ресурсов Windows SMB? Просто интернет-мусор? Сканирование портов?
Вот что я вижу:
Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Я отключил часть своего IP-адреса в целях собственной безопасности.
Интернет - это джунгли, и вас могут съесть. Эти попытки, скорее всего, являются случайными, размашистыми сегментами сетей, которые ищут открытые порты, а затем уязвимости для использования. Ваш брандмауэр делает свою работу. Позаботьтесь о том, чтобы вы не NAT ВСЕ входящие порты на сервер, а только те, которые вам нужны, а затем защитите приложения, прослушивающие эти порты, и поддерживайте их в актуальном состоянии.
В сети существует множество роботов (черви или вирусы на зараженных машинах, сканирующие боты на скомпрометированных машинах и т. Д.), Которые ищут SMB-серверы, уязвимые для ошибок безопасности или экспортирующие общедоступные общие ресурсы. Вы видите «окружающий фоновый шум» этого сканирующего трафика в журналах вашего брандмауэра.
Не о чем волноваться. Просто заблокируйте трафик и двигайтесь дальше (как если бы вы это делали со своим брандмауэром). Это факт сегодняшней жизни в Интернете.