服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 服务器每5分钟向3个IP发送一次数据包
Intereting Posts
邮递员:如何分批邮件 当我们的主要外部DNS提供商发生DDOS攻击时,是否可以有一个二级pipe理DNS提供商来快速委派? 如何用ps过滤掉默认的系统进程? 我怎样才能以友好的格式读取pcap文件? 尝试运行任何命令时,PHP exec()返回127 在CoreOS中为cloud-config提供简单的dynamicuser_data服务? 在目录中循环查找文件夹并删除 在分析日志中识别testing机器 转储一个Linux进程的内存到文件 Apache ajp反向代理将特定页面redirect到https 无法在Citrix XenServer中附加多pathiSCSI terminal服务器上的环境variables客户端范围 改变linux错误信息语言 将vmware工作站10移到ESX 复制/粘贴大文件崩溃的Windows

服务器每5分钟向3个IP发送一次数据包

在我们的防火墙日志中注意到,从我们的Web服务器每隔5分钟就会连续build立三个连接,并尝试发送一个数据包到目标端口43(whois端口),通过所有源端口循环(即59466,59467,59468,5分钟稍后的3个端口)到3个不同的IP地址…:

193.0.6.135,200.3.14.10,196.216.2.130
成熟,Lacnic和Afrinic

我知道所有3家公司都是互联网注册商,但是如何通过我们所有的源端口每5分钟循环发送一次数据包就显得有些奇怪。 它看起来像反向端口扫描给我。 这是正常的吗?

编辑:

TCPDUMP输出,这个只有2分钟的时间。 注意到有一些补丁会在同一分钟内连续运行20次。 速度和频率各不相同,但没有超过5分钟的差距。 

[user@xxxxxxx xxxxxxx]# tcpdump -v -s 5000 -i eth0 port 35921 or port 35920 or port 35919 or port 35916 or port 35917 or port 35918 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 5000 bytes 08:56:33.517976 IP (tos 0x0, ttl 64, id 8127, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35916 > whois.ripe.net.nicname: S [tcp sum ok] 2154741398:2154741398(0) win 5840 <mss 1460,sackOK,timestamp 67215657 0,nop,wscale 9> 08:56:33.520288 IP (tos 0x0, ttl 64, id 59697, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35917 > registro.lacnic.net.nicname: S [tcp sum ok] 2139834394:2139834394(0) win 5840 <mss 1460,sackOK,timestamp 67215659 0,nop,wscale 9> 08:56:33.522705 IP (tos 0x0, ttl 64, id 33392, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35918 > whois.afrinic.net.nicname: S [tcp sum ok] 2140808030:2140808030(0) win 5840 <mss 1460,sackOK,timestamp 67215662 0,nop,wscale 9> 08:58:32.773110 IP (tos 0x0, ttl 64, id 28764, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35919 > whois.ripe.net.nicname: S [tcp sum ok] 2259878735:2259878735(0) win 5840 <mss 1460,sackOK,timestamp 67334931 0,nop,wscale 9> 08:58:32.776580 IP (tos 0x0, ttl 64, id 44263, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35920 > registro.lacnic.net.nicname: S [tcp sum ok] 2259083248:2259083248(0) win 5840 <mss 1460,sackOK,timestamp 67334935 0,nop,wscale 9> 08:58:32.778395 IP (tos 0x0, ttl 64, id 39072, offset 0, flags [DF], proto 6, length: 60) 192.168.xxx.xxx.35921 > whois.afrinic.net.nicname: S [tcp sum ok] 2267212728:2267212728(0) win 5840 <mss 1460,sackOK,timestamp 67334936 0,nop,wscale 9>

交通本身可能是合法的,尽pipe每五分钟运行一次可能不是。

这看起来像标准的whoisstream量; 它被发送到whois端口,并被发送到官方的whois服务器。

然而,事实上它是以5分钟的间隔发生的,这表明一个自动化的过程正在运行查询。 注册人不会那么喜欢,如果过度,他们可能会把你关掉。

您可能会发现捕获stream量内容并检查它们以查看实际正在查找的whoislogging是非常有用的。 这可能会给你一个线索,可能是什么来源查询。

如果服务器正在运行Linux,则可以编写一个systemtap脚本来查找发起查询的进程。

(源端口是无关紧要的;这是操作系统的select,如果你想了解更多关于这个非问题的细节,请阅读TCP / IP Illustrated或其他很好的IP参考。

我在服务器上发现/usr/local/cpanel/scripts/update_spamassassin_config脚本访问这些whois服务器来更新其configuration。 也许这与spamassassin在这种情况下,这很可能是合法的。

如果这是在spamassassin服务器上运行,请检查其更新间隔。