3 votes

Andy Murdoch avatar

Port source 443 ?

Demandé el 3 de Février, 2014
Quand la question a-t-elle été
5976 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je vais peut-être m'embarrasser avec cette question, à cause d'une chose vraiment évidente, mais je suis perplexe.

Le journal de mon pare-feu domestique à large bande indique qu'il a bloqué le trafic TCP entrant dont le port source ( !) est le 443. Mais qu'est-ce que cela peut bien être ? Si quelqu'un tentait une connexion HTTPS, il s'agirait du port de destination 443, et non du port source, non ?

Voici l'entrée du fichier journal :

[UFW BLOCK] IN=enp3s0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.x DST=xx.xx.xx.xx LEN=89 TOS=0x00 PREC=0x20 TTL=59 ID=58112 DF PROTO=TCP SPT=443 DPT=56419 WINDOW=7776 RES=0x00 ACK PSH URGP=0

Qu'est-ce que cela peut bien vouloir dire ?

Demandé el 3 de Février, 2014 par Andy Murdoch

Réponses

Trop de publicités?

6voto

Ram avatar
Ram Points 1010

Rien ne restreint le port source que vous utilisez lorsque vous ouvrez une connexion TCP (l'utilisation d'un port source < 1024 peut nécessiter des privilèges root/superuser/admin).

Dans tous les cas, il est fort probable que si vous voyez du trafic provenant de l'extérieur avec un port source de 443, il s'agit d'une attaque (probablement un bot exécutant un script) qui espère que vous aurez un bug dans la configuration de votre pare-feu (règles de pare-feu) et que vous laisserez entrer le trafic provenant du port 443 parce que vous autorisez presque certainement le trafic sortant destiné au port 443.

Répondu el 4 de Février, 2014 par Ram (1010 Points )

2voto

user685880 avatar
user685880 Points 21

S'il s'agit d'un paquet SYN avec le port source 443, il est plus que probable qu'il s'agisse d'un acte néfaste. Votre paquet est un ACK PSH, il s'agit donc d'une connexion que vous avez interrompue de votre côté, mais le serveur web auquel vous étiez connecté n'a pas reçu de paquet FIN ou RST et continue à vous envoyer des données.

Répondu el 14 de Janvier, 2017 par user685880 (21 Points )

1voto

sinkmanu avatar
sinkmanu Points 168

Vous devriez écrire plus d'informations si vous voulez en savoir plus. Cette connexion aurait pu être n'importe quel programme. Si vous voulez savoir quelles connexions TCP (sur le port 443) ont votre ordinateur Vous pouvez exécuter la commande netstat et vérifier l'IP et le programme.

# netstat -ntp | grep :443

Vous pouvez également utiliser un renifleur pour capturer le trafic et voir l'origine de cette connexion en filtrant par le port 443 et l'IP. De plus, vous pouvez faire un whois avec l'IP pour voir où vous envoyez.

$ whois <ip>

Si vous voulez voir les ports TCP que votre PC a en mode d'écoute, exécutez :

# netstat -lnt

et si vous voulez voir quel programme est à l'écoute, utilisez l'argument -p

Répondu el 4 de Février, 2014 par sinkmanu (168 Points )

0voto

Steffen avatar
Steffen Points 101

Je pense cette réponse ici est également une réponse logique :

... Une raison probable de ce trafic est que votre serveur apache pense toujours que la connexion est ouverte et essaie d'y répondre, alors que votre pare-feu pense que la connexion est fermée et donc que la session n'est plus active. Cela peut se produire si une connexion est est inactive pendant une période plus longue que celle que le module conntrack juge raisonnable. ...

Répondu el 7 de Mars, 2022 par Steffen (101 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X