各位好
最近檢查IPCop的log時發現，會有某些IP連續(數十小時)以不同的port及協定(TCP、UDP)嘗試連接我的某一port(443、16942)；但我並沒有開放這些port

這算是被攻擊了嗎?

請參考下圖：
http://dxjd4nmai.googlepages.com/firewall.png
http://dxjd4nmai.googlepages.com/firewall02.png

贊助商連結

scan而已，對方在找你主機的漏洞。

防火牆有隱藏端口功能啊
你也可以網路上抓個apr攻擊程式弄牠
反正有ip

scan而已，對方在找你主機的漏洞。

原來如此，我會注意的


防火牆有隱藏端口功能啊
你也可以網路上抓個apr攻擊程式弄牠
反正有ip

預設這些port都是隱藏的，但為何會一直嘗試就感到很疑惑
至於攻擊他就免了 ^^"

port 443 是 http-ssl
超過 1024 都不是常規 port，16942 大概是某軟體的預設 port
soruce ip：61.247.70.152，韓國的

所謂的「開埠」，指的是 NAT 的「埠轉換」port mapping

NAT 下除非有設埠轉換，外面的主動連接是無法進入「區域網路」電腦的

port 是無法隱藏的，但是可以阻擋 （DROP）
也就是在防火牆規則中，設定不符規則的封包，全部丟棄

差別在於 丟棄(DROP），不會回覆任何訊息
對方掃的 port 若無開通，封包都不會回來，直到連接逾時（達到 TTL)
這會增加他掃 port 所浪費的時間，但最終還是會掃到有開的 port

沒有 DROP 的情況，NAT 一樣不允許通過
但閘道路由器仍會回覆訊息，這會讓對方 SCAN 縮短很多時間
因為只要 port 沒通，路由器就會回覆不通，不必等到連接逾時

就某種意義來說，阻擋 (不回覆任何訊息）= 隱藏
所以也有隱藏這種說法，說隱藏也是對的（意義面來說）

port 數共有 65535
簡單的說，有無 drop 的差別，就是在要掃幾小時，或幾天
沒 DROP 路由器會回覆訊息，通常 1秒內
而連接逾時的時間，印象中蠻長的，好像有幾十秒

再者如果對方不確定這台主機到底存不存在
收到幾次連接逾時，他可能就放棄了
除非他一開始就知道這台主機（IP）確實存在，才會繼續下去

--------------------------------------------------------

但是有一點要注意的是
「閘道防火牆主機」本身就是對外的，並不受 NAT 的保護

例如：閘道路由器有對外 DNS 服務，port 53 是有程式（bind) 在監聽的
若 bind 這個程式本身有漏洞，就會被入侵
這就是為甚麼要時常更新的緣故，因為要補漏洞
也由於 bind 是經常性開放的，危險性大，所以有 chroot 這個偽裝目錄機制


以 IPCOP 來說，默認 443 是它的預設 web 管理介面登入 port
例如登入的時候，會打網址：http:// IP:443
冒號後面接數字，代表由 port 443 的 SSL 端口進入

在 IPCOP 來講，這個端口號碼是可以改的，例如改成：19999
低於 1024 的默認端口，是公開的資料，大家都知道
改成高於 1024 的自訂端口，可避免被直接掃到
不過這只能拖慢 scan 速度，但最終還是會被掃出來
因為掃描程式通常由 1 開始掃
程式不用手工，就算要花時間，放著讓電腦跑即可，有耐心的話最終還是會掃到


若有開放外面可以使用 web 管理介面，則 443 是通的
那麼一直出現 443，並不是在掃 port
因為掃一次即知道通不通了，沒道理要一直掃，貌似吃飽太閒
恐怕是在 try 密碼 （暴力破解）......

還有 16942 也挺可疑的，沒理由要一直想進入 port 16942
估計這個 port 可能可以進入....
具體什麼服務，就不曉得了，樓主可以 telnet 看看

不過有一種情況例外，有一種叫 DoS 攻擊的
目的不在入侵，而在癱瘓網站
其有多種型態，其中是一種是讓利用多台電腦，持續對一網站進行連接
使該網站主機負載過重而癱瘓
只是這專門用來對付網站，且要有癱瘓價值的

http://dxjd4nmai.googlepages.com/firewall02.png

樓主的情況，443 一直被連接
估計是 web 管理介面有對外開放，被 try 密碼的可能性比較大....

chain 鏈為 INPUT，說明了封包是進入閘道防火牆主機本身
如果封包是進入區域網路，則 chain 鏈為 nat

時間間隔很短且連續，說明這是用程式在暴力破解的...

應對方法：

1.關閉對外 web 管理介面

2.若真的有需要對外 web 管理介面，不能關
先將 port 改到其它號碼，讓他要重新 scan，時常變換
將密碼設超級複雜，位數愈多愈好，讓對方無法破解
過一陣子對方吃閉門羹，就會放棄

port 443 是 http-ssl
超過 1024 都不是常規 port，16942 大概是某軟體的預設 port
soruce ip：61.247.70.152，韓國的
- 恕刪 -
除非他一開始就知道這台主機（IP）確實存在，才會繼續下去
- 恕刪 -


原來如此，受教了 ^^

可能是我有架站的關係 才會一直try


以 IPCOP 來說，默認 443 是它的預設 web 管理介面登入 port
例如登入的時候，會打網址：http:// IP:443
冒號後面接數字，代表由 port 443 的 SSL 端口進入

在 IPCOP 來講，這個端口號碼是可以改的，例如改成：19999
低於 1024 的默認端口，是公開的資料，大家都知道
改成高於 1024 的自訂端口，可避免被直接掃到
不過這只能拖慢 scan 速度，但最終還是會被掃出來
因為掃描程式通常由 1 開始掃
程式不用手工，就算要花時間，放著讓電腦跑即可，有耐心的話最終還是會掃到


若有開放外面可以使用 web 管理介面，則 443 是通的
那麼一直出現 443，並不是在掃 port
因為掃一次即知道通不通了，沒道理要一直掃，貌似吃飽太閒
恐怕是在 try 密碼 （暴力破解）......

還有 16942 也挺可疑的，沒理由要一直想進入 port 16942
估計這個 port 可能可以進入....
具體什麼服務，就不曉得了，樓主可以 telnet 看看
-恕刪-
時間間隔很短且連續，說明這是用程式在暴力破解的...

應對方法：

1.關閉對外 web 管理介面

2.若真的有需要對外 web 管理介面，不能關
先將 port 改到其它號碼，讓他要重新 scan，時常變換
將密碼設超級複雜，位數愈多愈好，讓對方無法破解
過一陣子對方吃閉門羹，就會放棄

我的IPCop預設web管理是用 445port ^^" 且也沒允許對外
且怪的是就我所知道方式檢查了443 & 16942是沒開啟的(不論是轉port或IPCop本身)...或許是我自已不清楚Orz

不過在此之前幾天的確是有遇到掃port 也許是這樣的關係

感謝您的建議，我會把web管理介面的port改變的
另外密碼原本我就是設10位大小+數字無意義組合，不知這樣夠安全嗎? 還是要再變更?

直到連接逾時（達到 TTL)

TTL不是time out是time to live
請參考http://www.study-area.org/network/network_ip_addr.htm
TTL最主要是要防止loop(回圈)的產生:mad:

to dxjd4
有IP就可以跟你連線就差在回不回，TCP/UDP的連線要一定的方法，你不回就沒事^^
我也可以跟pczone說我要連4444 Port但pczone主機並不會回我，自然的連線就不會建立

to #8篇的linux_xp
詳情請自修CCNA，TTL的確是為了解決loop問題

TTL不是time out是time to live
請參考http://www.study-area.org/network/network_ip_addr.htm
TTL最主要是要防止loop(回圈)的產生:mad:

to dxjd4
有IP就可以跟你連線就差在回不回，TCP/UDP的連線要一定的方法，你不回就沒事^^
我也可以跟pczone說我要連4444 Port但pczone主機並不會回我，自然的連線就不會建立

那 DNS 正反解檔第一行，TTL 86400秒，什麼意思？

每經過一個 router 減 1，最主要防止 loop 的產生？

咦~可是單位好像是「秒」耶 :lovely: :eye:



存活時間 (TTL)。這個 TTL 的概念﹐在許多網路協定中都會碰到。當一個封包被賦予 TTL 值(以秒或跳站數目(hop)為單位)﹐之後就會進行倒數計時。在 IP 協定中，TTL 是以 hop 為單位


經過一段時間沒有回應，視為死掉，就是 TTL

引言中那一段有語病，嚴謹一點的說法是 IP 封包檔頭的 TTL，是用作路由判斷功能，單位 hoop。

說 IP 協定也沒錯，因為它的確是在封包檔頭中。只是這種說法不夠嚴謹，容易造成誤會。比方說這邊就有人誤會.....

大部分的網路程式軟體，所謂的 TTL，不是參考那個封包檔頭的 TLL，另有其自定義的數值。

---------------------------------------------------------------

那個不叫回不回，是有沒有程式在監聽
unix 的稱作 daemons，win 的稱作 services

比如 httpd (apache) 負責監聽 port80
只要 port 80 進來的封包，核心就交給 httpd 去處理
至於怎麼處理？httpd 它家的事情，核心交接後就不管了

port 4444 進來，若無程式在監聽，核心模組還是會回一個封包，可以解讀為此埠沒有服務

如果沒有 drop，預設是都會回的
那個封包有一個固定長度，會消耗上傳頻寬，以及處理器資源
CPU 一般都夠快，不會因此癱瘓
但如果一直回，上傳頻寬有可能用盡，即可視為 DoS 攻擊的一種（其中一種型態，不是全部）

想像一下，利用散發病毒，讓幾萬台電腦同一時間發作
對某個網站，許多 port，不斷的連線
該網站主機每個都回，會發生什麼事情？
該網站會癱瘓，不論是主機跑不動，或者網路跑不動，總之服務會被阻斷
故中文稱：阻斷服務式攻擊
進階的稱：分散運算式阻斷服務攻擊，DDoS

擋下來 (DROP），不會消耗上傳頻寬，不過還是會消耗下載頻寬....
因為你可以控制寄信給別人，無法控制別人寄信給你
所以 DDoS 是一種很難在個別主機端防護的攻擊

一般防火牆中的 DoS 防護，多是針對檢驗 TCP 旗標合法性而設的
TCP 三段式交握有一定程序
沒按照那個程序，在一些有漏洞的舊核心，會引起系統崩潰
還有限制封包處理數量，來多少減少攻擊危害，但無法真正防範


簡單的說，即使沒有監聽程式，系統仍會回覆封包
具體缺點是：會消耗處理資源、上傳頻寬

白話一點的比喻
這就好像手動開 埠轉換 給 P2P 軟體使用
當 P2P 軟體停止（關閉），外面的連線還是會持續進來

因為外面的人不知道你的 P2P 軟體已經關閉
他們的軟體會一直嘗試連入一陣子，直到超過 TTL 時間才放棄
其影響是會讓電腦網路變慢
解決方法是改用 UPNP 自動開關埠

由此可證明：若一直有封包不請自來，是會讓網路變慢的！
只是程度大小的差別罷了.....

>>不回就沒事

可以說對，也可以說不對
不回 = 要阻擋 (drop），非預設值，需設定
不理會 = 粉飾太平，但影響仍在

這兩者是有差異的.....
差異就是後者有可能會讓網路變慢，只是程度問題罷了

差別在於 丟棄(DROP），不會回覆任何訊息
對方掃的 port 若無開通，封包都不會回來，直到連接逾時（達到 TTL)
這會增加他掃 port 所浪費的時間，但最終還是會掃到有開的 port




那 DNS 正反解檔第一行，TTL 86400秒，什麼意思？
每經過一個 router 減 1，最主要防止 loop 的產生？
咦~可是單位好像是「秒」耶 :lovely: :eye:

經過一段時間沒有回應，視為死掉，就是 TTL

引言中那一段有語病，嚴謹一點的說法是 IP 封包檔頭的 TTL，是用作路由判斷功能，單位 hoop。

說 IP 協定也沒錯，因為它的確是在封包檔頭中。只是這種說法不夠嚴謹，容易造成誤會。比方說這邊就有人誤會.....

大部分的網路程式軟體，所謂的 TTL，不是參考那個封包檔頭的 TLL，另有其自定義的數值。

~怒刪~

因為外面的人不知道你的 P2P 軟體已經關閉
他們的軟體會一直嘗試連入一陣子，直到超過 TTL 時間才放棄
其影響是會讓電腦網路變慢
解決方法是改用 UPNP 自動開關埠


話都是你在說，你前面講那是什麼鬼-_-"
time out(你說的"逾時")跟TTL有啥關係，你到解釋看看!!
這邊還扯DNS的TTL，那你前面說的是DNS的TTL摟!!!
DNS中的TTL是也不是你說的time out
你到解釋看看你在這邊說的每個TTL你要怎麼翻，TTL是縮寫你翻翻看
IP封包中的Time To Live 的設計本來就是為了解決封包loop(回圈)的問題
不懂請念CCNA教材:corkysm:
我實在看不出來你說的time out跟你說的"TTL"有啥關係

話都是你在說，你前面講那是什麼鬼-_-"
time out(你說的"逾時")跟TTL有啥關係，你到解釋看看!!
這邊還扯DNS的TTL，那你前面說的是DNS的TTL摟!!!
DNS中的TTL是也不是你說的time out
你到解釋看看你在這邊說的每個TTL你要怎麼翻，TTL是縮寫你翻翻看
IP封包中的Time To Live 的設計本來就是為了解決封包loop(回圈)的問題
不懂請念CCNA教材:corkysm:
我實在看不出來你說的time out跟你說的"TTL"有啥關係

謝謝指教，CCNA 早唸過了
有 CISCO 出版原文書一套，幾乎全新，廉價出售有興趣請 PM


TTL (Time to Live) 存活時間
根據不同的軟體、應用，有不同定義

IP 封包的檔頭資料、網路設備，此 TTL 是指經過多少 Router
由 255 開始扣，每經過一個 -1

DNS 此 TTL，是指解析檔的快取有效期限，預設為 1D
這就是為甚麼 ISP 的 DNS 改設定後，需要 24小時才生效的原因
因為別的 DNS 已經快取住了，要等 24小時才會再來取新資料

在 SCAN PORT 的時候，TTL 可以用來代表逾時的秒數

在攝影界，TTL （Through The Lens）代表一種測光方式

不需要對名詞太執著，那都是隨人定義的，高興取的
原理最重要，意思知道就好了

很黃很暴力，很好很強大，這不是我的菜，超威，好閃...
這些詞去查字典，看查不查的到
菜是 TYPE？閃不是躲避？....怎麼回事，全亂套了？

其實英語也有類似的情況，語文是活的，一直在變
更別提中國那邊同樣講中文，很多詞彙卻與台灣大異其趣

要抓小把柄，抓不完的
論壇裡的文章，你可以每篇都找找，一定都有小把柄
只不過沒有什麼討論的正面意義，對學習與進步毫無幫助

但我不是承認 TTL 有說錯，按照原意就是那個意思
你無法接受就算了，國際觀是需要相容與包容的，加油吧

若有什麼高見、看法，請分享，互相交流
儘量從技術層面來討論，促進科技含量的提昇
鑽牛角尖沒營養的回覆就免了，感謝
:jump: