¿Qué significa un Firewall por "conectarse al puerto TCP sin su permiso"?

8

McAfee está reportando conexiones de red entrantes bloqueadas de IP como 198.252.206.149 (StackExchange Inc.), 54.179.231.116 (Amazon Technologies Inc.), 74.125.68.106 (Google Inc.), etc.

Lospuertosbloqueadosvarían:porejemplo,54452,54551,52931,53353,52912,52902,52914,54146,54156,53986,52931,52914,53204,52927,52912,etc.

Estospuertosnodeberíanserlosutilizadosparalanavegaciónweb,yaqueaparentementepuedonavegar"perfectamente" como de costumbre sin anomalías.

¿Por qué recibo estos mensajes?

¿Qué significa que alguien haya intentado conectarse al puerto TCP de mi PC "sin permiso"?

    
pregunta Pacerier 28.03.2015 - 17:42
fuente

2 respuestas

14

Esos mensajes obtienen una D- por contenido técnico y precisión. La explicación más probable es que estos paquetes llegaron tarde y fallaron en la verificación ESTABLISHED,RELATED porque la conexión ya estaba cerrada.

Algo menos probable es que en realidad tenían el indicador CONNECT establecido en el encabezado de TCP, y su firewall está eliminando todas las conexiones entrantes o se cerró el puerto de destino.

Las conexiones entrantes aleatorias pueden ocurrir debido a escaneos de puertos maliciosos, pero también debido a la asignación dinámica de IP que le da una dirección que anteriormente se asignaba a un usuario de software de transferencia de igual a igual / malla, de manera que la dirección ha sido anunciada en la malla. Sin embargo, dado que estos provienen de sitios que usted usa, lo más probable es que el paquete haya llegado después de que ya haya pasado a otra página web y que el navegador ya no esté escuchando los datos en cuestión.

Desafortunadamente, la descripción de la acción del firewall como un "bloque" también carece de información. Hay dos acciones posibles cuando llega un paquete no deseado: DROP it, o responde con REJECT . El rechazo puede tomar la forma de un indicador RST en un paquete de retorno de TCP, o un mensaje de "puerto inalcanzable" de ICMP. De cualquier manera, el rechazo explícito filtra información sobre su configuración de red. Al mismo tiempo, DROP puede ser causado por la congestión de la red, por lo que el extremo remoto puede volver a intentarlo. Por lo tanto, para sus "amigos" (socios de comunicación legítimos), se prefiere RECHAZAR, mientras que para las exploraciones de puertos al azar se prefiere DROP. Y su firewall no le está diciendo lo que está haciendo.

    
respondido por el Ben Voigt 28.03.2015 - 18:12
fuente
0

Estas parecen reclamaciones exageradas en la forma de "¡Acabamos de protegerte de 145 amenazas, mataste a 5 alienígenas, 3 ninjas y un dragón!" Las mejores opciones son, ya sea:

  • (la próxima vez que suceda) use un escáner / rastreador de red (como WireShark o similar) para ver qué sucedió realmente
  • ignóralo (o usa una mejor HIDS que proporciona mejores descripciones)
  • desinstala McAfee;)
respondido por el David Balažic 07.04.2015 - 20:12
fuente

Lea otras preguntas en las etiquetas