Tại sao Google tiếp cận máy VPS của tôi?

36

Tôi đang cố gắng theo dõi các hoạt động mạng trên máy của mình chạy CentOS 7.

Theo nhật ký của iptables, có vẻ như Google (74.125.133.108) đang tiếp cận VPS của tôi nhiều lần.

Tôi có thể thấy rằng cổng nguồn luôn là 993.

lý do cho điều đó là gì?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables 
ishahak
nguồn

Câu trả lời:

101

Lưu ý các ACK SYNgói đầu tiên trong bãi chứa của bạn? Những cờ này biểu thị giai đoạn thứ hai của bắt tay TCP ba chiều .

Vì gói này đến từ Google, nên nó cho thấy Google không "tiếp cận VPS của bạn"; VPS của bạn đang kết nối với Google trên cổng 993 và Google sẽ gửi lại xác nhận.

Để điều tra thêm, bạn có thể sử dụng iptableslệnh để xem chi tiết (bao gồm ID tiến trình) của các kết nối hiện đang hoạt động. Bạn cũng có thể sử dụng hệ thống con kiểm toán kernel để đăng nhập các kết nối đi khi chúng xảy ra.

David
nguồn
10
Cảm ơn đã giải quyết bí ẩn này. Quả thực tôi có một quá trình tải email từ Google. Cảm ơn đặc biệt vì đã gợi ý công cụ Audctl!
ishahak
28

Cổng 993 dành cho lưu lượng IMAP được mã hóa.

Gmail có một tính năng nơi nó có thể kiểm tra các máy chủ IMAP bên ngoài và đưa các email đó vào hộp thư đến của bạn.

Do đó, tôi nghi ngờ địa chỉ IP của bạn trước đây là máy chủ email của ai đó và họ đã định cấu hình Gmail để kiểm tra máy chủ đó xem email của họ. (Ngoài ra, nhưng ít có khả năng, "ai đó" là bạn và bạn đã quên bạn đã làm điều này.)

ceejayoz
nguồn
10
Điều này có thể giải thích hợp lý tại sao cổng đích sẽ là 993 / tcp, nhưng trong trường hợp của OP, đó là cổng nguồn . Cổng đích là 47920 / tcp.
một CVn
6
@aCVn Điều đó cho thấy OP có thể đang kết nối với Google, thay vì cách khác ...
marcelm
4
@marcelm Đó thực sự là trường hợp, như được chỉ ra bởi các ACK SYNcờ trên gói đầu tiên trong danh sách. Tôi đã đăng một lời giải thích chi tiết hơn như là một câu trả lời.
David
1
@marcelm Có thể có phần mềm độc hại trên máy chủ đang cố gửi thư rác qua gmail bằng cách nào đó.
Qwertie
2
@Qwertie: Hầu hết các phần mềm độc hại gửi thư rác sẽ sử dụng cổng SMTP (25/465/587) và sẽ không làm phiền với IMAP.
grawity
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.