我负责通过防火墙端口转发服务器,通过互联网提供单一服务(ssh)。
ssh服务login仅限于encryption密钥(不允许使用密码)。
每周几次,我看到以下types的防火墙日志(当然有点混淆):
[UFW BLOCK] IN= OUT=eth0 SRC=192.168.xx DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0
源端口始终是22,目的IP总是海外(在这种情况下,韩国),似乎是恶意的。
我已经把服务器locking了,但是我不太了解SSH和TCP协议要有信心,而且我不喜欢这样的事实,就好像我的服务器正试图联系陌生人。 这种通讯从来没有发生在合法的ssh会话期间。
我应该担心吗? 还有什么奇怪的日志,我的眼睛没有发现?
编辑:我已经尝试了一些简单的事情(如尝试的密码身份validation)重现使用SSH客户端阻止的连接,没有成功。 如果我可以重现它会很好。
您的系统正在接受来自该端口22上的该海外IP地址的连接尝试数据包,但接着该响应数据包被阻止。 22的源端口和数据包上的SYN和ACK标志表明它试图响应连接尝试并被阻塞。
取决于你如何configuration你的规则(你使用ufw ,因为你用这个标记了问题?或者直接iptables ?你能提供你的规则吗?),那么这可能是也可能不是这个尝试的预期方式连接失败。 但连接尝试失败,所以你在那里覆盖。
另一个build议不直接关系到你的查询,但重要的是没有那么less。 如果你有一个面向networking的ssh服务器,我强烈build议你只改变到基于证书的login,确保没有根login到ssh,并且总是把locking设置为5或者更less。
另外我build议把ssh服务器放在一个不同的短暂的端口上,比如2222,这通常会将stream量安静地放到ssh服务器上,这是因为黑客们通常会扫描大块的ip数据块来打开端口22,特别是试试这个端口。进入你的networking。
我希望帮助..
DC