Alguém pode explicar conexões de entrada estranhas no log do meu servidor?

3

Ok, eu só sei tanto sobre networking como aprendi nos meus cursos de Computer Systems and Electronics, e estou vendo algo que não sei como interpretar. Meu irmão queria que eu fizesse dele um servidor privado para o Gary's Mod que ele e seus amigos pudessem tocar juntos, hospedados em nossa máquina desktop em nossa rede doméstica privada ATnT Uverse.

Primeiro, atribuí um IP estático à área de trabalho pela página inicial do meu roteador por meio do chrome. Em seguida, segui as etapas em portforward.com para criar exceções de firewall na página inicial do meu roteador para as portas usadas pelo Mod de Gary.

O Gary's Mod usa as portas 3478 , 4379-4380 , 27000-27030 . Depois de abrir essas portas no roteador, o IP associado é 99.48.61.197 .

Se eu procurar no arquivo de log do meu roteador, vejo isso:

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=27014-27050

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=3478

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=4379-4380

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=27000-27030

INF 2016-05-28T21:39:41-05:00   sys Successfully logged into a password protected page

Qual é apenas eu criando as exceções no firewall. No entanto, devo ter feito algo errado, e o amigo do meu irmão continuou recebendo "Connection timed out" ao tentar se juntar ao jogo do meu irmão. Então eu fui mais longe no arquivo de log para verificar se havia tentativas de conexão com falha. Eu encontrei estes:

INF 2016-05-29T00:56:20-05:00       Previous log entry repeated 2 times
INF 2016-05-29T00:58:05-05:00   fw,fwmon    src=93.174.93.94 dst=99.48.61.197 ipprot=6 sport=50610 dport=21 Unknown inbound session stopped
INF 2016-05-29T01:01:06-05:00   fw,fwmon    src=123.248.119.133 dst=99.48.61.197 ipprot=6 sport=3483 dport=23 Unknown inbound session stopped
INF 2016-05-29T01:01:15-05:00       Previous log entry repeated 2 times
INF 2016-05-29T01:05:35-05:00   fw,fwmon    src=184.105.247.231 dst=99.48.61.197 ipprot=17 sport=44310 dport=5351 Unknown inbound session stopped
INF 2016-05-29T01:07:08-05:00   fw,fwmon    src=122.116.224.144 dst=99.48.61.197 ipprot=6 sport=40086 dport=23 Unknown inbound session stopped
INF 2016-05-29T01:07:11-05:00       Previous log entry repeated 1 times

e muito, muito mais, na maior parte parecendo o mesmo. Existem provavelmente cerca de 100 dessas entradas. O destino de todo esse tráfego é 99.48.61.197 , que é o IP associado às portas do Gary's Mod. Eu mapeei a localização de um punhado aleatório do IP de origem, e é isso que eu recebi:

Istoéoquenãoseicomointerpretar.EstouvendootráfegoparaosservidoresdoGary'sMod?Ouessessãoalgunstiposdescriptsdebotsqueprocuramporportasabertaseestãotentandoentrarnoservidorqueeuestabeleci?Eususpeitoqueoúltimo,umavezquecadaentradadelogdiz"Desconhecida sessão de entrada parou". Eu também suspeito que essa mensagem tem algo a ver com o porquê de o amigo do meu irmão não conseguir se conectar. Ou talvez seja mais complicado que isso.

Como uma questão mais geral, por que isso acontece, especificamente, fora desse contexto? Por exemplo, quando executo lastb no bash no meu Raspberry Pi, recebo uma lista grande de tentativas de conexão (logins incorretos), e a maioria desses IPs de origem vem da China, alguns da Holanda, etc. por aí tentando se conectar a máquinas conectadas em redes públicas? Qual é o objetivo deles se eles obtiverem acesso? E é isso que está acontecendo com a minha tentativa de servidor Garry's Mod?

    
por Anonymous 29.05.2016 / 09:28

1 resposta

1

Você está sendo verificado quanto a serviços vulneráveis. Isso não está relacionado com a execução do Gary's Mod, é apenas algo que acontece com qualquer coisa com um endereço IP público (como o seu roteador) na Internet.

Mais especificamente, vejo tentativas de conexão para:

  • ipprot = 6 (TCP) dport = 21 (FTP), um antigo protocolo de compartilhamento de arquivos que é irremediavelmente inseguro e que ninguém mais deveria estar usando.

  • ipprot = 6 (TCP) dport = 23 (Telnet), um antigo protocolo de login remoto que é irremediavelmente inseguro e ninguém deveria estar mais usando.

  • ipprot = 17 (UDP) dport = 5351 (Protocolo de mapeamento de porta NAT), um protocolo destinado a permitir que dispositivos em uma rede privada digam ao roteador como configurar suas conexões de internet, o que é vulnerável a ataques quando exposto à internet externa .

Basicamente, as pessoas fazem a varredura da internet aleatoriamente, procurando por alvos fáceis de atacar. Se você continuar observando os logs, verá mais tentativas nessas e outras portas, incluindo números de porta completamente aleatórios (apenas para ver o que eles podem encontrar). O firewall interno do seu roteador parece estar bloqueando os probes, o que é o melhor que você pode fazer.

Eventualmente, alguém vai acertar uma sonda de sorte que atinge uma das portas usadas pelo Mod de Gary. Se eles podem explorar essa descoberta depende da segurança do software de servidor Gary's Mod, que eu não conheço, então não posso comentar.

    
por 30.05.2016 / 19:58