¿Mi ISP está realizando una exploración de puertos en mi computadora?

Navega tus respuestas
3

He estado registrando conexiones entrantes con iptables por un tiempo y he estado observando las siguientes ventanas emergentes periódicamente: 

11:45:10 my.com kernel: IPTABLES: SRC=220.255.XX.XXY DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=50687 PROTO=TCP SPT=443 DPT=54102 SEQ=21105 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:10 my.com kernel: IPTABLES: SRC=220.255.XX.XXZ DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=50688 PROTO=TCP SPT=443 DPT=54102 SEQ=21105 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:25 my.com kernel: IPTABLES: SRC=220.255.XX.XXY DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49686 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXA DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=49687 PROTO=TCP SPT=443 DPT=54100 SEQ=21106 ACK=0 WINDOW=0 RES=0x00 RST URGP=0
11:45:26 my.com kernel: IPTABLES: SRC=220.255.XX.XXB DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=51681 PROTO=TCP SPT=443 DPT=54202 SEQ=21107 ACK=0 WINDOW=0 RES=0x00 RST URGP=0

Todas las direcciones IP de origen son de mi ISP y parece que se está ejecutando algún tipo de servicio HTTPS e intenta comunicarse con mi computadora a través de un número de puerto alto.

Internamente, estoy probando un servidor web y abrí el enrutador para aceptar conexiones HTTP y HTTPS. Tengo curiosidad por lo que significan estos paquetes del ISP y si tienen implicaciones de seguridad.

    
pregunta Question Overflow 14.05.2014 - 12:29
fuente

2 respuestas

7

¿Qué versión de Linux está utilizando y cómo se configuran sus iptables que está causando que estos mensajes se registren?

Puedo ofrecer una explicación alternativa posible.

En los paquetes parece que se establece el indicador RST.

  

11:45:26 kernel my.com: IPTABLES: SRC = 220.255.XX.XXA DST = 192.168.1.2   LEN = 40 TOS = 0x00 PREC = 0x00 TTL = 57 ID = 49687 PROTO = TCP SPT = 443 DPT = 54100   SEQ = 21106 ACK = 0 WINDOW = 0 RES = 0x00 RST URGP = 0

Esto significa que desde 220.255 obtienes una respuesta RST desde su puerto 443. El número creciente de puertos de tu lado me hace suponer que lo que estás viendo aquí es que los 220.255 host (s) rechazan la conexión tcp / ip intentos

Es probable que su configuración de firewall no los relacione correctamente con los paquetes syn que está enviando. Dependiendo de la configuración de su iptables, esto es "normal" o la causa de un error en versiones anteriores con el estado ESTABLECIDO / RELACIONADO del seguimiento de la conexión.

Para investigar más a fondo, recomendaría ejecutar un tcpdump para el puerto 443 en la interfaz correspondiente y echar un vistazo si este es realmente el caso, o si alguien está enviando paquetes RST no solicitados.

Como nota al margen, también veo este comportamiento en algunos de mis servidores con ciertos rangos de ip. Todos son paquetes RST que se envían porque la rotación de DNS de algunos servicios web utilizados comúnmente contiene direcciones IP que en realidad no tienen un servicio en ejecución.

    
respondido por el PlasmaHH 14.05.2014 - 14:57
fuente
1

Es inusual que el tráfico se origine desde el puerto 443. A menudo, esto se hace con la esperanza de que alguna mala configuración de su firewall permita la entrada de datos porque ha abierto el puerto 443 para sus propios sistemas en las direcciones ambas .

Lo más probable es que lo que estás viendo es un ataque que intenta escanearte en el puerto (suponiendo que el puerto de destino esté intentando puertos aleatorios o consecutivos). Debe informar la dirección IP a la autoridad que la posee. Haga un IP-whois en él y reenvíe los registros a la dirección de contacto abuse .

    
respondido por el deed02392 14.05.2014 - 13:57
fuente

Lea otras preguntas en las etiquetas

¿Agregando un "comentario" a los archivos de firma de correo de PGP? Empresa que descifra SSL, ¿es común?