Google neden VPS makineme yaklaşıyor?

36

CentOS 7 çalıştıran makinemdeki ağ etkinliklerini izlemeye çalışıyorum.

İptables loglarına göre, Google’ın (74.125.133.108) VPS’ime birçok kez yaklaştığı görünüyor.

Kaynak bağlantı noktasının her zaman 993 olduğunu görebiliyorum.

Bunun nedeni nedir?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables 
ishahak
kaynak

Yanıtlar:

101

Çöp kutusundaki ACK SYNilk pakete dikkat et. Bu bayraklar üç yollu TCP el sıkışmasının ikinci aşamasını gösterir .

Bu paket Google’dan geldiğinden, Google’ın "VPS’nize yaklaşmadığını"; senin VPS bağlanıyor için port 993 Google'da ve Google bir onay geri gönderiyor.

Bunu daha fazla araştırmak için iptables, şu anda aktif olan bağlantıların ayrıntılarını (işlem kimlikleri dahil) görüntülemek için komutu kullanabilirsiniz . Çekirdek denetim alt sistemini , giden bağlantıları olduğu gibi günlüğe kaydetmek için de kullanabilirsiniz .

David
kaynak
10
Bu gizemi çözdüğün için teşekkürler. Gerçekten de, Google’dan e-posta indiren bir işlem var. Denetleme aracını önerdiğiniz için özel teşekkürler!
ishahak
28

Bağlantı noktası 993, şifreli IMAP trafiği içindir.

Gmail, harici IMAP sunucularını kontrol edebildiği ve bu e-postaları gelen kutunuza getirebileceği bir özelliğe sahiptir.

Bu nedenle, IP adresinizin daha önce birisinin e-posta sunucusundan olduğundan şüpheleniyorum ve Gmail’i e-postaları için bu sunucuyu kontrol edecek şekilde yapılandırdılar. (Alternatif olarak, ancak daha az muhtemel olan "birisinin" sensin ve bunu yaptığını unuttun.)

ceejayoz
kaynak
10
Bu, hedef portun neden 993 / tcp olduğunu açık bir şekilde açıklayabilir , ancak OP'nin durumunda kaynak porttur. Hedef port 47920 / tcp'dir.
Temmuz'da CVn
6
@aCVn hangisi ... OP yerine başka bir yol, Google'a bağlanırken olabileceğini öne sürdü
marcelm
4
@marcelm Listedeki ACK SYNilk paket üzerindeki bayrakların gösterdiği şekilde, durum budur . Cevap olarak daha ayrıntılı bir açıklama gönderdim.
David,
1
@ marcelm Belki de sunucuda bir şekilde gmail ile spam göndermeye çalışan kötü amaçlı yazılımlar vardır.
Qwertie
2
@Qwertie: Spam gönderen kötü amaçlı yazılımların çoğu SMTP bağlantı noktalarına gider (25/465/587) ve IMAP ile uğraşmazdı.
Grawity
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.