Dal mio registro di iptables, posso osservare un particolare indirizzo IP remoto che tenta di connettersi al mio server dalla porta 80 a un numero di porta privato:
Jul 09 01:24:41 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=16405 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Jul 09 01:29:42 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=31270 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Jul 09 01:32:41 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=43052 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
Jul 09 01:34:40 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=53328 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0
È in corso da un giorno e la connessione viene effettuata ogni 5 minuti circa. Ho provato ad accedere al sito dal suo indirizzo IP ma dice reset della connessione. nslookup fornisce una risposta non autorevole:
Non-authoritative answer:
xyz.x.y.z.in-addr.arpa name = xyz.x.y.z.static.eigbox.net.
Sembra che qualcuno potrebbe falsificare l'indirizzo IP del mio server, causando la risposta di questo computer remoto inviando pacchetti ACK SYN al mio server. Accetto persino l'output iptables a questo indirizzo IP per garantire che il mio server non risponda ad esso.
È possibile scoprire cosa un utente remoto sta tentando di connettersi a una porta chiusa senza compromettere la sicurezza del mio server?