我想知道是否有人可以帮助我解决这个问题。
我们有一个只能通过 https:// 端口 443 访问的网络服务。
使用 netstat 我看到有特定的 ip 试图连接到服务器。
例如,所有其他连接都从它们的端口连接到服务器的 443 端口(正常的 https 行为)。
这个特定的 ip:192.0.73.2,试图打开从远程端口 443 到本地端口的连接。(它的状态始终为 TIME_WAIT,它会消失,然后在大约一分钟后以 TIME_WAIT 的形式返回。
我要公开报告这个ip,因为它之前已经在这里报告过: https ://www.abuseipdb.com/check/192.0.73.2
有一个保护公司网络的 CISCO 防火墙,我的系统管理员告诉我,他找不到从该 ip 到服务器的任何命中。但 netstat 工具会报告其他情况。
你能给我一些建议吗?或者告诉我这是怎么回事?谢谢!
这就是 netstat 命令显示的内容:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 server_ip:32884 192.0.73.2:443 TIME_WAIT
tcp6 0 69000 server_ip:443 remote_ip:65045 ESTABLISHED
tcp6 0 0 server_ip:443 remote_ip:20467 TIME_WAIT
tcp6 0 0 server_ip:443 remote_ip:55430 TIME_WAIT
tcp6 0 0 server_ip:443 remote_ip:65248 ESTABLISHED
谢谢大家帮我解决这个问题。毕竟是对 gravatar 的召唤
可能没有人试图连接
443到本地上端口。连接通常源自动态端口范围(49152 到 65535)。是32884总是32884还是实际上总是在那个范围内?IP地址
192.0.73.2主机wordpress.com等gravatar.com。您的服务器更有可能连接到该服务器以收集一些信息。我们无法知道细节,因为我们不知道您的网站及其用途。对 192.0.73.2 的正常点击会重定向到https://en.gravatar.com/。这绝对不是 MITM 攻击。
您的网站正在使用 gravatar 模块,它正在尝试连接到其服务器以收集数据,即用于评论的用户头像。您不必担心它,因为它在 TIMED_WAIT 之后死亡,它无法连接到服务器。
您不必担心,因为防火墙未检测到 IP。最好修复试图访问 gravatar 的模块并允许访问它。
这是出站连接,您的服务器正在连接到远程地址,而不是相反。这通常转化为:您有一些后台服务可以在某处发送数据。要弄清楚进程是什么,请使用 netstat(具有 root 权限):
如果您在输出中看不到它,请尝试(也以 root 身份):
这将向您显示与相关进程名称的所有连接。找到你的传出连接,看看这个过程。
例如,我的服务器会定期维护到外部 https 端口的出站连接,因为我正在运行 Nginx Amplify,它需要向其报告服务器统计信息。
您可以在我的服务器的当前输出(已编辑)中看到一个示例:
我的服务器正在建立从随机端口到 https 端口的出站连接,就像你的一样。运行命令,找到进程,然后你就可以判断它是否是恶意的。
IP 192.0.73.2 今天也出现在我的防火墙中。确实是来自gravatar。
IP 被捕获的原因是 TCP 连接同时具有 syn 和 fin 标志,而我的防火墙将这些连接添加到列表中。来自https://www.juniper.net/documentation/en_US/junos/topics/concept/tcp-syn-fin-flags.html