RC47YUI6 2021-01-12 14:51 采纳率: 25%
浏览 171

centos8装了firewalld,疑似有人扫描我端口。但我没映射这些端口,对方如何扫描到的?

firewalld服务的日志里发现以下大量相似内容,看着像是有人在扫描我的端口

Jan 11 21:56:52 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35492 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 22:03:36 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35522 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 22:08:21 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35548 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 22:17:18 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35594 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 22:19:16 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35598 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 23:46:57 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35976 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 23:46:57 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=47 ID=0 DF PROTO=TCP SPT=80 DPT=35978 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 11 23:49:36 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=35996 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 12 00:02:32 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=36068 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 12 00:02:33 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=80 DPT=36072 WINDOW=17520 RES=0x00 RST URGP=0 
Jan 12 00:04:33 xxx kernel: STATE_INVALID_DROP: IN=eno1 OUT= MAC=a8:a1:59:08:25:79:9c:fe:a1:7e:32:4c:08:00 SRC=198.27.66.94 DST=本机地址 LEN=40 TOS=0x00 PREC=0x20 TTL=47 ID=0 DF PROTO=TCP SPT=80 DPT=36078 WINDOW=17520 RES=0x00 RST URGP=0

但是我出口网关上并没有映射这么多端口,按道理不可能访问到我内网机器的这些端口,这些记录是怎么产生的?

  • 写回答

1条回答 默认 最新

  • 你知我知皆知 2024-07-24 16:27
    关注

    以下回答参考 皆我百晓生券券喵儿 等免费微信小程序相关内容作答,并由本人整理回复。

    从您提供的日志来看,这些记录似乎是来自防火墙的日志,而不是来自客户端的网络请求。

    在CentOS 8中,防火墙默认会阻止所有非信任来源的连接,并且使用"drop"策略来处理这些连接。这包括一些常见的HTTP端口号(例如80和443),但通常不会阻止所有其他端口。

    为了确定这些记录是否是真实的网络攻击或错误,我们需要更多的上下文信息。例如,防火墙日志可能还会包含一些关于源IP、目的IP以及协议等的信息。此外,防火墙日志还可能提供关于流量类型(例如正常业务流量还是恶意流量)的信息。

    如果您想进一步分析这些记录,您可以尝试查找与防火墙配置文件相关的日志条目,或者查看防火墙规则以了解它们是如何被创建并应用的。另外,如果这些记录经常出现,可能是由于防火墙规则存在错误或不完整的设置导致的。

    评论

报告相同问题?