Il mio ISP sta eseguendo una scansione delle porte sul mio computer?

3

Sono stato loggato le connessioni in entrata con iptables per un po 'e ho osservato periodicamente quanto segue:

11:45:10 my.com kernel: IPTABLES: SRC=220.255.XX.XXY DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=50687 PROTO=TCP SPT=443 DPT=54102 SEQ=21105 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:10 my.com kernel: IPTABLES: SRC=220.255.XX.XXZ DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=50688 PROTO=TCP SPT=443 DPT=54102 SEQ=21105 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:25 my.com kernel: IPTABLES: SRC=220.255.XX.XXY DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49686 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXA DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49687 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXB DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=51681 PROTO=TCP SPT=443 DPT=54202 SEQ=21107 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

Tutti gli IP di origine provengono dal mio ISP e sembra che stia eseguendo una sorta di servizio HTTPS e provando a comunicare con il mio computer tramite un numero di porta elevato.

Internamente, sto testando un server Web e ho aperto il router per accettare connessioni HTTP e HTTPS. Sono curioso di sapere cosa significano questi pacchetti dall'ISP e se hanno delle implicazioni sulla sicurezza.

    
posta Question Overflow 14.05.2014 - 12:29
fonte

2 risposte

7

Quale versione di linux stai usando e come si configura il tuo iptables che sta causando la registrazione di questi messaggi?

Posso offrire una spiegazione alternativa possibile.

Nei pacchetti sembra essere impostato il flag RST.

11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXA DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49687 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

Ciò significa che da 220.255 si ottiene una risposta RST dalla loro porta 443. Il numero crescente di porte dalla tua parte mi fa presumere che quello che vedi qui è che gli host 220.255 rifiutano la connessione tcp / ip tentativi.

Probabilmente la configurazione del firewall non le collega correttamente ai pacchetti di syn che stai inviando. A seconda della configurazione di iptables questo è "normale" o la causa di un bug nelle versioni precedenti con lo stato ESTABLISHED / RELATED del tracciamento della connessione.

Per approfondire ulteriormente questo suggerirei di eseguire un tcpdump per la porta 443 sulla rispettiva interfaccia e dare un'occhiata se questo è effettivamente il caso, o se qualcuno sta inviando pacchetti RST non richiesti.

Come nota a margine, sto vedendo questo comportamento anche su alcuni dei miei server con determinati intervalli di ip. Sono tutti pacchetti RST che vengono inviati perché la rotazione DNS di alcuni servizi web comunemente usati contiene indirizzi IP che in realtà non hanno un servizio in esecuzione.

    
risposta data 14.05.2014 - 14:57
fonte
1

È insolito che il traffico provenga dalla porta 443. Spesso ciò viene fatto nella speranza che l'errata configurazione del firewall permetta l'immissione di dati perché hai aperto la porta 443 per i tuoi sistemi nelle entrambe direzioni .

Molto probabilmente quello che stai vedendo è un attacco che tenta di portarti a scansionare (presumendo che la porta di destinazione stia cercando porte casuali o consecutive). Dovresti segnalare l'indirizzo IP all'autorità che lo possiede. Fai un IP whois su di esso e inoltra i registri all'indirizzo di contatto abuse .

    
risposta data 14.05.2014 - 13:57
fonte

Leggi altre domande sui tag