Чому Google наближається до моєї VPS-машини?

36

Я намагаюся відслідковувати мережеві дії на моїй машині під управлінням CentOS 7.

Згідно з журналами iptables, здається, що Google (74.125.133.108) багато разів наближається до моєї VPS.

Я бачу, що вихідний порт завжди є 993.

У чому причина цього?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables 
ішахак
джерело

Відповіді:

101

Помічаєте ACK SYNперший пакет на вашому смітнику? Ці прапори позначають другий етап тривимірного рукостискання TCP .

Оскільки цей пакет надходить від Google, це вказує, що Google не "наближається до вашої VPS"; ваш VPS підключається до Google на порт 993, а Google надсилає підтвердження.

Щоб далі дослідити це, ви можете скористатися iptablesкомандою для перегляду деталей (включаючи ідентифікатори процесу) з'єднань, які в даний час є активними. Ви також можете використовувати підсистему аудиту ядра для реєстрації вихідних з'єднань у міру їх виникнення.

Девід
джерело
10
Дякуємо, що розгадали цю таємницю. Дійсно, у мене є процес, який завантажує електронну пошту від Google. Особлива подяка за пропозицію інструменту auditctl!
ішахак
28

Порт 993 призначений для зашифрованого трафіку IMAP.

Gmail має функцію, де він може перевіряти зовнішні сервери IMAP та вносити ці електронні листи у вашу поштову скриньку.

Тому я підозрюю, що ваша IP-адреса раніше була адресою чийогось сервера електронної пошти, і вони налаштували Gmail для перевірки цього сервера на наявність своїх електронних листів. (Крім того, але менш вірогідно, що "хтось" - це ти, і ти забув, що ти це зробив.)

ceejayoz
джерело
10
Це може правдоподібно пояснити, чому порт призначення буде 993 / tcp, але у випадку ОП - це вихідний порт. Порт призначення становить 47920 / тс.
CVn
6
@aCVn Що говорить про те, що ОП може підключатися до Google, а не навпаки ...
marcelm
4
@marcelm Це дійсно так, як зазначено ACK SYNпрапорами першого пакету в списку. Я відповів більш детальним поясненням як відповідь.
Девід
1
@marcelm Можливо, на сервері є зловмисне програмне забезпечення, яке намагається якось надіслати спам через gmail.
Qwertie
2
@Qwertie: Більшість зловмисних програм, що надсилають спам, хотіли б для портів SMTP (25/465/587) і не заважали IMAP.
grawity
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.