it-swarm-ja.com

誰かが私のサーバーログで奇妙なインバウンド接続を説明できますか?

わかりました。ネットワークについては、コンピュータシステムと電子工学のコースで学んだことしか知りません。また、解釈の仕方がわからないことがあります。兄は私に、彼と彼の友人が一緒にプレイできるGary's Modのプライベートサーバーにして、プライベートATnTUverseホームネットワーク上のデスクトップマシンでホストすることを望んでいました。

私は最初に、Chromeを介してルーターのホームページを介してデスクトップに静的IPを割り当てました。次に、portforward.comの手順に従って、Gary'sModで使用されるポートのファイアウォール例外をルーターのホームページに作成しました。

Gary's Modは、ポート34784379-438027000-27030を使用します。ルーターでこれらのポートを開いた後、関連付けられたIPは99.48.61.197です。

ルーターのログファイルを見ると、次のように表示されます。

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=27014-27050

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=3478

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=4379-4380

INF 2016-05-28T21:09:14-05:00   sys Pinhole added on broadband=0.0.0.0, home=0.0.0.0 appid=-1, port=27000-27030

INF 2016-05-28T21:39:41-05:00   sys Successfully logged into a password protected page

ファイアウォールで例外を作成しているのは私だけです。しかし、私は何か間違ったことをしたに違いありません、そして私の兄弟の友人は私の兄弟のゲームに参加しようとしたときに"Connection timed out"を取得し続けました。そこで、ログファイルをさらに調べて、失敗した接続試行を確認しました。私はこれらを見つけました:

INF 2016-05-29T00:56:20-05:00       Previous log entry repeated 2 times
INF 2016-05-29T00:58:05-05:00   fw,fwmon    src=93.174.93.94 dst=99.48.61.197 ipprot=6 sport=50610 dport=21 Unknown inbound session stopped
INF 2016-05-29T01:01:06-05:00   fw,fwmon    src=123.248.119.133 dst=99.48.61.197 ipprot=6 sport=3483 dport=23 Unknown inbound session stopped
INF 2016-05-29T01:01:15-05:00       Previous log entry repeated 2 times
INF 2016-05-29T01:05:35-05:00   fw,fwmon    src=184.105.247.231 dst=99.48.61.197 ipprot=17 sport=44310 dport=5351 Unknown inbound session stopped
INF 2016-05-29T01:07:08-05:00   fw,fwmon    src=122.116.224.144 dst=99.48.61.197 ipprot=6 sport=40086 dport=23 Unknown inbound session stopped
INF 2016-05-29T01:07:11-05:00       Previous log entry repeated 1 times

そして、はるかに、ほとんど同じように見えます。これらのエントリはおそらく100近くあります。このすべてのトラフィックの宛先は99.48.61.197です。これは、GaryのModポートに関連付けられたIPです。ランダムな少数のソースIPの場所をマッピングしましたが、これが得られたものです。

Source IP map

これは私がどのように解釈するのかわからないことです。 Gary's Modサーバーへのトラフィックを見ているだけですか?それとも、これらは開いているポートを検索し、私が確立したサーバーにアクセスしようとしているある種のボットスクリプトですか?すべてのログエントリに「不明なインバウンドセッションが停止しました」と記載されているため、後者の可能性があります。また、そのメッセージは、兄の友達が接続できなかった理由と関係があるのではないかと思います。あるいは、それよりも複雑かもしれません。

より一般的な質問として、特にこの文脈の外で、なぜこれがまったく起こるのですか?たとえば、RaspberryPiでbashでlastbを実行すると、試行された接続(不正なログイン)のリストが大量に表示され、それらのソースIPのほとんどは中国からのものであり、一部はオランダからのものです。ボットは、パブリックネットワークに接続されたマシンに接続しようとしてサーフィンをしますか?彼らがたまたまアクセスした場合の彼らの目標は何ですか?そして、それは私の試みたギャリーのModサーバーで何が起こっているのですか?

2
Anonymous

脆弱なサービスがないかスキャンされています。これはGary'sModの実行とは関係ありません。これは、インターネット上のパブリックIPアドレス(ルーターなど)を持つものすべてに発生するものです。

具体的には、次の接続試行が見られます。

  • ipprot = 6(TCP)dport = 21(FTP)、絶望的に安全ではなく、誰ももう使用すべきではない古代のファイル共有プロトコル。

  • ipprot = 6(TCP)dport = 23(Telnet)、絶望的に安全ではなく、誰ももう使用すべきではない古代のリモートログインプロトコル。

  • ipprot = 17(UDP)dport = 5351(NATポートマッピングプロトコル)、プライベートネットワーク上のデバイスがルーターにインターネット接続の構成方法を指示できるようにすることを目的としたプロトコル。これは にさらされると攻撃に対して脆弱です。外部インターネット

基本的に、人々はインターネットをランダムにスキャンして、攻撃しやすいターゲットを探します。ログを監視し続けると、完全にランダムなポート番号を含め、これらのポートや他のポートでの試行が増えます(何が見つかるかを確認するためだけです)。ルーターの組み込みファイアウォールがプローブを問題なくブロックしているようです。これは、できる限り最善の方法です。

最終的に、誰かがGary'sModで使用されているポートの1つに当たる幸運なプローブを着陸させようとしています。彼らがその発見を悪用できるかどうかは、GaryのModサーバーソフトウェアのセキュリティに依存します。これは私がよく知らないため、コメントできません。

1
Gordon Davisson