好的,我是一个小型networkingpipe理员,只有networking服务器和互联网直接连接,其余的networking通过另一个地方连接。 我正在使用tcpdump检查服务器上的stream量,并且发现从不同IP地址到端口6881的很多连接。我的机器上的所有端口都被阻塞,除了那些真正需要networking服务器(如端口80)的端口我检查出来,并确认6881和其他端口处于过滤(防火墙)状态。
为什么所有这些ips都不断尝试连接到端口6881上的服务器,而不pipe它是否打开? 这是一种新的攻击方式吗?也许有一些新的攻击(也许是0day?)在6881上运行一些服务? AFAIK在6881操作bittorrent和类似的,真的,这是怎么回事? 如果有人澄清我一些事情,这将是很好的。
使用Wireshark(或类似的),看看stream量是什么,而不只是看它的端口。 这可能会给你一个线索。 6881端口很可能是BitTorrentstream量,但也可能是恶意软件的结果。 检查您的内部stream量,以寻找stream量不足的迹象。
听起来像某人欺骗你的地址,然后跟踪跟踪器,可能是由于无知而不是恶意。 假设它不会消除你的连接,我会看看它是否持续了一天或更长时间,如果确实如此,那么就与你的提供者交谈,看他们是否可以过滤它们。
是的,它可能是一个跟踪器坏了DNS的改变。 如果你有一个真正的互联网连接(商业服务),他们应该能够为你过滤出来。