1

Недавно я заметил трафик из офисной сети в TCP-порт 445 в Интернете [a]. Ниже приведены записи журнала брандмауэра Linux в сети Facebook [b] и сети Google [c]. Я хотел бы определить источник этого трафика. Мое первое предположение заключается в том, что Facebook и Google могут использовать несколько портов TCP для балансировки нагрузки SSL. Однако я не смог подтвердить это на основе журналов веб-прокси. Что еще это может быть?

[a] http://support.microsoft.com/kb/204279

[b]
Sep 4 08:30:03 firewall01 kernel: IN=eth0 OUT=eth2 SRC=10.0.0.131 DST=69.171.237.34 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=14287 DF PROTO=TCP SPT=51711 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

[c]
Aug 28 06:02:41 firewall01 kernel: IN=eth0 OUT=eth2 SRC=10.0.0.115 DST=173.194.33.47 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4558 DF PROTO=TCP SPT=49294 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
|источник

1 ответ1

2

Это очень дикое предположение, но, возможно, какая-то программа по ошибке пытается получить доступ к \\www.google.com\path вместо http://www.google.com/path?

  1. Некоторые веб-сайты используют относительные к схеме URI, такие как //host/path вместо http://host/path . (Это простой способ заставить одну и ту же ссылку работать как по HTTP, так и по HTTPS.)

  2. Некоторые программы могут неправильно интерпретировать такой относительный URI (//host/path) как адрес UNC (\\host\path).

  3. Когда программа открывает путь UNC, Windows пытается получить к нему доступ, используя SMB (как прямой, так и через NetBIOS) и HTTP/WebDAV.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .