Я настроил свой устаревший маршрутизатор Netgear (около 2007 г.) на отправку журналов безопасности электронной почты довольно давно, а затем никогда не смотрел на них и не понимал, что они имеют в виду.

На днях я делал общую проверку своей безопасности и решил попытаться понять, о чем говорят мне журналы маршрутизатора.

Например, вот позиция из журнала, отправленного несколько дней назад (я скрыл IP-адреса):

Вт, 2014-11-25 05:44:18 - Пакет TCP - Источник:XX.XX.XXX.XX Пункт назначения:YYY.YYY.YY - [RDP match]

Я предполагаю, что [RDP match] означает, что он искал, может ли он установить RDP-соединение (документация Netgear довольно скудна по информации).

Дело в том, что утром в это время машина с IP-адресом получателя была выключена.

Что дает? Знает ли какой-нибудь сканер портов, что в моей сети есть компьютер с этим IP-адресом, и он все равно пытается это сделать, или я все понял неправильно?

Заранее спасибо.

|источник

1 ответ1

2

Этот ответ несколько спекулятивен из-за отсутствия знаний о вашем конкретном маршрутизаторе и его конфигурации.

Сообщение журнала может означать, что маршрутизатор зарегистрировал пакет как пропущенный через его NAT и / или межсетевой экран на том основании, что он соответствует критериям для правила, связанного с протоколом RDP.

Если целевая машина была выключена, маршрутизатор все равно может попытаться отправить пакет на целевую машину, однако пакет не получит дальнейшей обработки из-за выключения машины, и, следовательно, любое соединение RDP должно прерваться.

Если машина включена, дальнейшая обработка будет зависеть от правил локального брандмауэра, а также от конфигурации удаленного рабочего стола на целевом компьютере.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .