Я просматривал журналы iptables и обнаружил, что сотни разных IP-адресов пытаются получить доступ к порту 45702, Google, похоже, мало что знает.
Они всегда прибывают блоками на ip
Jun 3 00:59:49 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:59:42 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:59:39 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:59:38 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:54:35 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:54:33 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:54:31 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:39 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:33 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:30 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Jun 3 00:52:29 76.108.181.238 32253 in 130.88.149.86 45702 UDP
Кто-нибудь знает, что это / есть какие-либо советы, кроме обеспечения его закрытия?
Если это бесполезный порт, почему все эти IP посещают его?
Редактировать:
Теперь он внезапно изменился на другой порт, все еще много разных ip
Jun 3 02:02:19 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:11 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:07 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:05 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:04 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:02 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:03 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:01 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 02:02:00 157.157.153.131 62411 in 130.88.149.86 47515 TCP
Jun 3 01:52:52 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 01:52:44 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 01:52:38 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 01:52:40 194.144.100.212 50879 in 130.88.149.86 47515 TCP
Jun 3 02:27:06 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:27:05 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:27:04 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:27:03 157.157.153.131 53228 in 130.88.149.86 47515 TCP
Jun 3 02:17:05 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Jun 3 02:16:57 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Jun 3 02:16:53 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Jun 3 02:16:51 194.144.100.212 60288 in 130.88.149.86 47515 TCP
Я сбит с толку, но думаю, что его поймали, так что не имеет значения,
Я не понимаю, почему существует множество разных IP-адресов, пытающихся сделать одно и то же, я думаю, кто-то использует прокси для смены IP-адреса каждые несколько минут и действительно любит порты выше 45000 (потому что там запущено множество критических служб?!? ).
Клиенты bittorrent часто используют порты с таким высоким значением. Если кто-то в сети использует такого клиента, настроенного таким образом, тогда попытки входящего соединения могут быть связаны с другими клиентами, пытающимися с ним разговаривать. Также может быть, что в обычном клиенте есть уязвимая для удаленного использования ошибка (я не слышал об одной, но это не значит, что несколько не существуют), тогда трафик может немного пытаться выследить работающие копии этот клиент попробовать использовать.
Насколько я понимаю, кажется странным, что такие соединения будут приходить блоками из одного источника на один и тот же порт через TCP, если соединения связаны с bittorrent, хотя это менее странно для UDP (несколько начальных пакетов могут быть отправлены в случае, если более ранние были потеряны из-за временного сбоя, если ваш брандмауэр молча отбрасывает пакеты, а не отправляет ответ об ошибке).
В любом случае используя netcat чтобы увидеть, что приходит, как предлагает Ксеркс, даст вам некоторые подсказки, если только трафик не используется для правильно зашифрованного протокола (даже в этом случае могут быть подсказки при открытии попытки рукопожатия).