Исходный порт 443?

Question

Я мог бы смущать себя этим вопросом из-за чего-то действительно очевидного, но я озадачен.

Журнал моего домашнего широкополосного брандмауэра говорит, что он блокирует входящий трафик TCP с источником (!) порт 443. Что в мире это может быть? Если бы кто-то пытался установить соединение HTTPS, это был бы порт назначения 443, а не порт источника, верно?

Вот запись из файла журнала:

[UFW BLOCK] IN=enp3s0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.x DST=xx.xx.xx.xx LEN=89 TOS=0x00 PREC=0x20 TTL=59 ID=58112 DF PROTO=TCP SPT=443 DPT=56419 WINDOW=7776 RES=0x00 ACK PSH URGP=0

Что это может пытаться сделать?

Answer 1

Ничто не ограничивает исходный порт, который вы используете при открытии TCP-соединения (для использования исходного порта <1024 могут потребоваться привилегии root/superuser/admin).

В любом случае, наиболее вероятно, если вы видите трафик, исходящий извне с портом-источником 443, то вы видите атаку (вероятно, бот, выполняющий скрипт), которая надеется, что у вас будет ошибка в конфигурации брандмауэра (правила брандмауэра). ) и будет пропускать трафик, исходящий из порта 443, поскольку вы почти наверняка разрешите исходящий трафик, предназначенный для порта 443.

Answer 2

Вы должны написать больше информации, если вы хотите знать об этом. Это соединение могло быть любой программой. Если вы хотите знать, какие TCP-соединения (на порту 443) есть у вашего компьютера, вы можете запустить программу netstat и проверить IP и программу.

# netstat -ntp | grep :443

Кроме того, вы можете использовать сниффер для захвата трафика и просмотра источника этого соединения, фильтрующего по порту 443 и IP. Кроме того, вы можете сделать whois с IP, чтобы увидеть, куда вы отправляете.

$ whois <ip>

Если вы хотите увидеть порты TCP, которые ваш ПК имеет в режиме прослушивания, выполните:

# netstat -lnt

и если вы хотите увидеть, какая программа слушает, используйте аргумент -p

Answer 3

Если это пакет SYN с портом-источником 443, то это более чем вероятно. Ваш пакет представляет собой ACK PSH, поэтому это будет соединение, которое вы отбросили на своем конце, но веб-сервер, к которому вы подключились, не получил пакет FIN или RST и продолжает отправлять вам данные.