Porta de origem 443?

1

Eu posso me envergonhar com essa pergunta, por causa de algo realmente óbvio, mas estou intrigado.

Meu registro de firewall de banda larga doméstico diz que está bloqueando o tráfego TCP de entrada com uma porta de origem (!) 443. O que pode ser no mundo? Se alguém estivesse tentando uma conexão HTTPS, seria a porta de destino 443, não a porta de origem, certo?

Aqui está a entrada do arquivo de log:

[UFW BLOCK] IN=enp3s0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.xx.x DST=xx.xx.xx.xx LEN=89 TOS=0x00 PREC=0x20 TTL=59 ID=58112 DF PROTO=TCP SPT=443 DPT=56419 WINDOW=7776 RES=0x00 ACK PSH URGP=0

O que isso pode estar tentando fazer?

security ip firewall port Johannes Ernst
fonte
11
Qualquer pessoa pode usar qualquer porta de origem de sua escolha. A primeira porta reservada de 0 a 1024 está reservada, mas nada os impede de tomar uma decisão consciente de definir a porta de origem como 443.
Darius
Por que alguém faria isso?
Johannes Ernst
A porta 443 não é a porta HTTPS ?
dotVezz
@dotVezz de fato, e é por isso que é tão surpreendente que essa porta seja a porta de origem (e não o destino).
Johannes Ernst
Estou vendo muito isso vindo dos endereços IP do Google.
Michael

Respostas:

6

Não há nada que restrinja a porta de origem que você usa quando abre uma conexão TCP (pode exigir privilégios de root / superusuário / administrador para usar uma porta de origem <1024).

Em qualquer caso, provavelmente, se você estiver vendo tráfego originário externamente com uma porta de origem 443, o que você está vendo é um ataque (provavelmente um bot executando um script) que espera ter um erro na configuração do firewall (regras de firewall ) e permitirá o tráfego originário da porta 443 porque você quase certamente permite o tráfego de saída destinado à porta 443.

RAM
fonte
1

Você deve escrever mais informações Se quiser saber sobre isso. Essa conexão poderia ter sido qualquer programa. Se você deseja saber quais conexões TCP (na porta 443) têm seu computador Você pode executar o programa netstat e verificar o IP e o programa.

# netstat -ntp | grep :443

Além disso, você pode usar um sniffer para capturar o tráfego e ver a origem dessa conexão filtrando pela porta 443 e IP. Além disso, você pode fazer um whois com o IP para ver para onde está enviando.

$ whois <ip>

Se você deseja ver as portas TCP que o seu PC possui no modo de escuta, execute:

# netstat -lnt

e Se você quiser ver qual programa está ouvindo, use o argumento -p

sinkmanu
fonte
Entendo o que meu computador está fazendo, essa não foi a pergunta que receio.
Johannes Ernst
1

Se for um pacote SYN com porta de origem 443, é mais do que provável que seja nefasto. Seu pacote é um PSK ACK; portanto, será uma conexão que você deixou cair no final, mas o servidor da Web ao qual você estava conectado não recebeu um pacote FIN ou RST e continua enviando dados.

user685880
fonte