Por que as pessoas estão tentando se conectar à minha rede na porta TCP 445?

Navegue suas respostas
7

Eu estava jogando com meu novo servidor syslog e tive meus logs de firewall m0n0wall encaminhados como um teste, notei um monte de entradas recentes de log de firewall que dizem que bloqueou outros IPs WAN do meu ISP (eu verifiquei) de conectar-se a mim na porta TCP 445. Por que um computador aleatório tentaria se conectar a mim em uma porta aparentemente usada para compartilhamentos SMB do Windows? Apenas lixo da internet? Uma varredura de porta?

Aqui está o que estou vendo: 

Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.614524 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.808856 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:38:44 gateway/gateway ipmon[121]: 23:38:43.836313 fxp0 @0:19 b 98.82.198.238,60670 -> 98.103.xxx,xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.305633 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.490778 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN
Mar 15 23:38:48 gateway/gateway ipmon[121]: 23:38:48.550230 fxp0 @0:19 b 98.103.22.25 -> 98.103.xxx.xxx PR icmp len 20 92 icmp echo/0 IN broadcast
Mar 15 23:43:33 gateway/gateway ipmon[121]: 23:43:33.185836 fxp0 @0:19 b 98.86.34.225,64060 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.405137 fxp0 @0:19 b 98.86.34.225,64081 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN
Mar 15 23:43:34 gateway/gateway ipmon[121]: 23:43:33.454384 fxp0 @0:19 b 98.86.34.225,64089 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast

Apaguei parte do meu endereço IP para minha própria segurança.

    
por ianc1215 16.03.2011 / 00:53

2 respostas

4

Existem muitos e muitos robôs (worms ou vírus em máquinas infectadas, robôs de varredura em execução em máquinas comprometidas, etc.) na rede procurando servidores SMB vulneráveis a bugs de segurança ou exportando compartilhamentos acessíveis ao mundo . Você está vendo o "ruído de fundo do ambiente" desse tráfego de varredura nos logs do seu firewall.

Não é nada para se alarmar. Basta bloquear o tráfego e seguir em frente (como você está fazendo com o seu firewall). É um fato da vida na internet hoje.

    
por 16.03.2011 / 00:55
7

A Internet é uma selva e você pode ser comido. Essas tentativas são provavelmente segmentos aleatórios e abrangentes de redes que procuram portas abertas e vulnerabilidades a serem exploradas. Seu firewall está fazendo seu trabalho. Tome cuidado para não ter NAT TO TODAS as portas de entrada para um servidor, apenas as que você precisa, então proteja os aplicativos que estiverem ouvindo essas portas e mantenha-as atualizadas.

    
por 16.03.2011 / 00:56

Tags

Como o MTU é 65535 no UDP, mas o ethernet não permite tamanho de quadro superior a 1500 bytes Nginx Proxy um intervalo de porta grande para porta equivalente em um endereço IP diferente