Мы заметили в наших журналах брандмауэра, что три соединения постоянно устанавливаются каждые 5 минут с нашего веб-сервера и пытаются отправить пакет на порт назначения 43 (порт whois), циклически проходя через все исходные порты (т.е. 59466, 59467, 59468, затем 5 минут позже следующие 3 порта) на 3 разных IP-адреса ...:
193.0.6.135, 200.3.14.10, 196.216.2.130
Зрелый, лакник и африник
Я понимаю, что все 3 компании являются интернет-регистраторами IP, но то, как они циклически проходят через все наши исходные порты каждые 5 минут, отправляя пакеты, кажется странным. Для меня это похоже на обратное сканирование портов. Это нормально?
РЕДАКТИРОВАТЬ:
TCPDUMP Выход, это было всего 2 минуты разницы. Заметил, что есть патчи, где он запускается 20 раз подряд в течение одной минуты. Скорость и частота варьируются, но не видел перерыва больше 5 минут.
[user@xxxxxxx xxxxxxx]# tcpdump -v -s 5000 -i eth0 port 35921 or port 35920 or port 35919 or port 35916 or port 35917 or port 35918
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 5000 bytes
08:56:33.517976 IP (tos 0x0, ttl 64, id 8127, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35916 > whois.ripe.net.nicname: S [tcp sum ok] 2154741398:2154741398(0) win 5840 <mss 1460,sackOK,timestamp 67215657 0,nop,wscale 9>
08:56:33.520288 IP (tos 0x0, ttl 64, id 59697, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35917 > registro.lacnic.net.nicname: S [tcp sum ok] 2139834394:2139834394(0) win 5840 <mss 1460,sackOK,timestamp 67215659 0,nop,wscale 9>
08:56:33.522705 IP (tos 0x0, ttl 64, id 33392, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35918 > whois.afrinic.net.nicname: S [tcp sum ok] 2140808030:2140808030(0) win 5840 <mss 1460,sackOK,timestamp 67215662 0,nop,wscale 9>
08:58:32.773110 IP (tos 0x0, ttl 64, id 28764, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35919 > whois.ripe.net.nicname: S [tcp sum ok] 2259878735:2259878735(0) win 5840 <mss 1460,sackOK,timestamp 67334931 0,nop,wscale 9>
08:58:32.776580 IP (tos 0x0, ttl 64, id 44263, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35920 > registro.lacnic.net.nicname: S [tcp sum ok] 2259083248:2259083248(0) win 5840 <mss 1460,sackOK,timestamp 67334935 0,nop,wscale 9>
08:58:32.778395 IP (tos 0x0, ttl 64, id 39072, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35921 > whois.afrinic.net.nicname: S [tcp sum ok] 2267212728:2267212728(0) win 5840 <mss 1460,sackOK,timestamp 67334936 0,nop,wscale 9>
Я обнаружил на своем сервере, что /usr/local/cpanel/scripts/update_spamassassin_config сценарий обращается к этим серверам whois для обновления своей конфигурации. Может это связано с spamassassin в этом случае это вполне вероятно.
Если это работает на сервере с spamassassin пожалуйста, проверьте его интервал обновления.
Сам по себе трафик, вероятно, является законным, хотя запуск каждые пять минут - нет.
Это похоже на стандартный whois-трафик; он отправляется через порт whois и отправляется на официальные серверы whois.
Однако тот факт, что это происходит с точными пятиминутными интервалами, говорит о том, что запросы выполняет автоматизированный процесс. Реестрам это не понравится, и они могут отключить вас, если это станет чрезмерным.
Возможно, вам будет полезно фиксировать содержимое трафика и проверять его, чтобы увидеть, какие записи whois на самом деле просматриваются. Это может дать вам ключ к пониманию того, что могло быть источником запросов.
Если сервер работает под управлением Linux, вы можете написать сценарий systemtap для поиска процесса, отправляющего запросы.
(Исходные порты не имеют значения; это выбор операционной системы. Прочтите TCP / IP Illustrated или другой хороший справочник по IP, если вы хотите получить более подробную информацию по этой не проблеме.)