Người đàn ông trong The Middle Attack, hay cái gì khác?

2

Tôi đã tự hỏi nếu ai đó có thể giúp tôi với vấn đề này.

Chúng tôi có một dịch vụ web chỉ khả dụng thông qua https: // port 443.

Sử dụng netstat tôi thấy rằng có một ip cụ thể cố gắng kết nối với máy chủ.

Ví dụ: tất cả các kết nối khác kết nối với máy chủ từ cổng của họ đến cổng 443 của máy chủ (hành vi https bình thường).

IP đặc biệt này: 192.0.73.2, cố gắng mở kết nối từ cổng 443 từ xa đến cổng cục bộ. (Trạng thái của nó luôn là TIME_WAIT, nó biến mất và sau đó nó sẽ trở lại là TIME_WAIT sau vài phút hoặc lâu hơn.

Tôi đang báo cáo ip này trong khi mở vì nó đã được báo cáo ở đây trước đây: https://www.abuseipdb.com/check/192.0.73.2

Có một tường lửa CISCO bảo vệ mạng công ty và quản trị viên hệ thống của tôi nói với tôi rằng anh ta không thể tìm thấy bất kỳ lượt truy cập nào từ ip đó đến máy chủ. Nhưng các công cụ netstat báo cáo khác.

Bạn có thể cung cấp cho tôi bất kỳ đề nghị? Hoặc cho tôi biết những gì đang xảy ra? Cảm ơn bạn!

Đó là những gì lệnh netstat hiển thị:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 server_ip:32884         192.0.73.2:443      TIME_WAIT
tcp6       0  69000 server_ip:443           remote_ip:65045     ESTABLISHED
tcp6       0      0 server_ip:443           remote_ip:20467     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:55430     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:65248     ESTABLISHED

Cảm ơn tất cả các bạn đã giúp tôi giải quyết vấn đề này. Đó là một cuộc gọi đến gravatar sau tất cả

ssl  ddos  netstat 
Nick_K
nguồn
Vâng, điều đầu tiên để thử là xem quá trình nào sử dụng cổng này. Kiểm tra đầu ra của netstat -tulpen.
Lenniey
Vui mừng bạn đã giải quyết nó, nhưng vui lòng đánh dấu một câu trả lời là được chấp nhận để câu hỏi được đóng lại.
Lenniey

Câu trả lời:

3

Một lần truy cập bình thường tới 192.0.73.2 chuyển hướng đến https://en.gravatar.com/ . Đây chắc chắn không phải là cuộc tấn công MITM.

Trang web của bạn đang sử dụng một mô-đun gravatar và nó đang cố gắng kết nối với máy chủ của nó để thu thập dữ liệu tức là hình đại diện Người dùng sẽ được sử dụng để bình luận. Bạn không cần phải lo lắng về điều đó và vì nó sẽ chết sau TIMED_WAIT, nó không thể kết nối với máy chủ.

Bạn không nên lo lắng vì IP không được phát hiện từ tường lửa. Tốt nhất nên sửa mô-đun cố gắng truy cập gravatar và cho phép truy cập vào mô-đun.

Dextro67
nguồn
Cảm ơn bạn. Tôi chỉ phát hiện ra rằng đây là trường hợp. Phải mất một thời gian vì ứng dụng web là một ứng dụng web php trả phí được bảo vệ / mã hóa bởi ioncube.com , vì vậy tôi đã xem xét kỹ hơn về trang hồ sơ. Netstat hiển thị kết nối với gravatar.com ngay sau khi bạn đăng nhập vào ứng dụng web.
Nick_K
Mát mẻ. Rằng điều này được giải quyết. Nếu câu trả lời là hữu ích làm upvote. Đây sẽ là lần đầu tiên của tôi. :)
Dextro67
3

Có lẽ không có ai cố gắng kết nối từ 443một cổng trên cục bộ. Các kết nối thường bắt nguồn từ phạm vi cổng động (49152 đến 65535). Là 32884luôn luôn 32884hay nó thực sự luôn luôn là một cái gì đó trong phạm vi đó?

Các 192.0.73.2máy chủ địa chỉ IP wordpress.comgravatar.comvv Có nhiều khả năng máy chủ của bạn đang kết nối với máy chủ đó để thu thập một số thông tin. Chúng tôi không thể biết chi tiết, vì chúng tôi không biết trang web của bạn và mục đích của nó là gì.

Esa Jokinen
nguồn
Cảm ơn bạn. Tôi chỉ phát hiện ra rằng đây là trường hợp. Phải mất một thời gian vì ứng dụng web là một ứng dụng web php trả phí được bảo vệ / mã hóa bởi ioncube.com , vì vậy tôi đã xem xét kỹ hơn về trang hồ sơ. Netstat hiển thị kết nối với gravatar.com ngay sau khi bạn đăng nhập vào ứng dụng web.
Nick_K
2

Đây là một kết nối ra , máy chủ của bạn đang kết nối với một địa chỉ từ xa, không phải là cách khác. Điều đó thường dịch thành: bạn có một số dịch vụ nền gửi dữ liệu ở đâu đó. Để biết quy trình là gì, hãy sử dụng netstat (có quyền root):

netstat -tulpn

Nếu bạn không thấy nó trong đầu ra, hãy thử (cũng như root):

lsof -i tcp

Điều đó sẽ cho bạn thấy tất cả các kết nối với tên quy trình có liên quan. Tìm kết nối đi của bạn, nhìn vào quá trình.

Ví dụ, máy chủ của tôi thường xuyên duy trì kết nối ra với cổng https nước ngoài, vì tôi có Nginx Amplify đang chạy và nó cần báo cáo thống kê máy chủ cho nó.

Bạn có thể xem một ví dụ về điều này ở đây, trong đầu ra hiện tại của máy chủ của tôi (đã được xử lý lại):

joe@testbed~$ sudo lsof -i tcp
COMMAND     PID      USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
amplify-a  6355  user-nam   14u  IPv4  7657189     0t0  TCP testbed.avx.local:36970->ec2.us-west-1.compute.amazonaws.com:https (ESTABLISHED)

Máy chủ của tôi ở đó đang thực hiện kết nối ra ngoài từ một cổng ngẫu nhiên đến cổng https, giống như của bạn. Chạy các lệnh, tìm quá trình, sau đó bạn có thể quyết định xem nó có độc hại hay không.

Joe Brailsford
nguồn
1

IP 192.0.73.2 đã kết thúc trong tường lửa của tôi ngày hôm nay. Nó thực sự là từ gravatar.

Lý do khiến IP bị bắt là vì kết nối TCP có cả cờ đồng bộ và cờ vây và tường lửa của tôi thêm các kết nối đó vào danh sách. Từ https://www.juniper.net/documentation/en_US/junos/topics/concept/tcp-syn-fin-flags.html

Cả hai cờ điều khiển SYN và FIN thường không được đặt trong cùng một tiêu đề phân đoạn TCP. Cờ SYN đồng bộ hóa các số thứ tự để bắt đầu kết nối TCP. Cờ FIN cho biết kết thúc truyền dữ liệu để kết thúc kết nối TCP. Mục đích của họ là loại trừ lẫn nhau. Một tiêu đề TCP với các cờ SYN và FIN được đặt là hành vi TCP bất thường, gây ra nhiều phản hồi khác nhau từ người nhận, tùy thuộc vào HĐH

INTEQ
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.