ufw가 내 PC에 대한 이러한 공격 시도를 차단합니까?

tag-icon tag-icon ufw
ufw가 내 PC에 대한 이러한 공격 시도를 차단합니까?

라우터는 여러 포트를 내 컴퓨터로 리디렉션합니다.

ufw.log를 확인해보니 다른 국가에서 공격을 받은 것처럼 보이는 항목이 많이 발견되었습니다. IP를 확인해 보니 악용/해킹으로 신고되었습니다.

ufw.log의 샘플 라인입니다.

Oct 14 08:14:43  kernel: [252337.271031] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=213.226.123.38 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=56509 PROTO=TCP SPT=49810 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0 
Oct 14 08:53:14  kernel: [254647.921581] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=79.124.62.130 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=22278 PROTO=TCP SPT=46668 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0 
Oct 14 09:02:13  kernel: [255187.278445] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=64.62.197.16 DST=10.0.1.28 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=12602 PROTO=UDP SPT=36769 DPT=3389 LEN=24 
Oct 14 09:14:45  kernel: [255939.716660] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=185.156.74.31 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=10729 PROTO=TCP SPT=53080 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0

그 이후로 라우터에서 내 컴퓨터로 리디렉션된 포트 중 상당수를 제거했습니다.

그래서 제 질문은 이렇습니다. 이러한 공격이 있습니까? 그렇다면 UFW는 이러한 공격으로부터 보호할 만큼 강력합니까? 이는 정상적인 것입니까? 즉, 공격자가 네트워크를 차단하고 있으며 모든 사람이 이를 갖고 있습니까?

답변1

이게 공격인가요?

아마도.

그렇다면 UFW는 이러한 공격으로부터 보호할 만큼 강력합니까?

일반적으로 그렇습니다. 그러나 이러한 포트 뒤에서 실행되는 서비스에 대해서는 주의하십시오. 첫 번째 조언은 강력한 비밀번호를 사용하라는 것입니다. 이러한 공격은 대개 무차별 대입 공격이기 때문입니다. 가능하다면 포트를 너무 많이 열지 말고 집에서 로컬 VPN 서버를 사용하세요.

이게 정상인가요? 다들 갖고 계시나요?

예, 이는 정상적인 현상이며 특히 기본 포트를 사용할 때 모든 사람이 이러한 공격에 직면한다고 생각합니다. 예를 들어 SSH에 대한 공격을 줄이려면 포트 전달 규칙을 변경하여 선택한 임의의 포트(예: 63721)를 노출하면 로컬 포트 ​​22로 리디렉션됩니다. SSH의 보안을 강화하려면 기존 비밀번호 대신 공개 키 인증을 사용하는 것이 좋습니다.

아, 그리고 한 가지 팁이 더 있습니다. Fail2ban을 사용하여 악성 IP를 자동으로 차단할 수 있습니다.

추가 정보여기.

답변2

그래서 제 질문은 이렇습니다. 이러한 공격이 있습니까?

인터넷에는 말 그대로 수천만 대의 감염된 장치(PC, 노트북, 서버, 라우터, IoT)가 있으며 그들은 모두 간단히 검사합니다.공용 IPv4 주소포트를 여는 데 사용됩니다. IPv6에는 너무 많은 주소가 포함되어 있기 때문에 단순히 열거하는 것만으로도 너무 많은 트래픽과 시간을 소비하고 훨씬 덜 효율적으로 만들 수 있기 때문에 IPv6에 대해서는 잘 모르겠습니다.

열린 포트가 발견되면 이러한 장치는 암호를 추측하거나 해당 포트/서비스에 대해 알려진 취약점을 사용하려고 시도합니다(인터넷의 많은 장치가 [제대로] 업데이트되지 않기 때문입니다).

나는 그 자체를 "공격"이라고 부르지 않을 것입니다. 나에게 있어 '공격'이란 누군가가 당신을 표적으로 삼는다는 뜻이다구체적으로장치를 손상시키거나 무단 액세스를 얻으려는 경우. 당신이 보는 것은자동화된스캐너/비밀번호 무차별 대입 장치.

그렇다면 UFW는 이러한 공격으로부터 보호할 만큼 강력합니까?

UFW는 iptables/nftables 규칙을 관리하는 고급 데몬이지만 이 규칙만으로도 충분합니다.

이는 정상적인 것입니까? 즉, 공격자가 네트워크를 차단하고 있으며 모든 사람이 이를 갖고 있습니까?

정확히. 우리 회사에는 수십 대의 서버가 있는데, 각 서버는 문자 그대로 수신을 받습니다.수천이러한 침투 시도일일.

관련 정보