syslog의 UFW 청크 - 내 서버에 연결을 시도하는 IP가 서로 다른 이유는 무엇입니까?

tag-icon tag-icon networking security firewall ufw traffic
syslog의 UFW 청크 - 내 서버에 연결을 시도하는 IP가 서로 다른 이유는 무엇입니까?

먼저 저는 네트워킹 전문가가 아니며 단지 몇 가지 사항을 이해하려고 노력하고 있음을 분명히 하고 싶습니다. 여기서 도움을 받고 더 똑똑해질 수 있기를 바랍니다.. 저는 Ubuntu 22.04 vps에서 서비스를 호스팅하고 있습니다. 이 서비스는 역방향 프록시 관리자 뒤에 위치하며 인터넷을 통해 액세스할 수 있습니다.

/var/log/syslog를 확인한 후 다양한 IP 주소가 임의의 포트에서 TCP 또는 UDP를 사용하여 내 서버에 연결을 시도하고 있음을 알 수 있습니다.

예를 들어:

Feb 27 15:38:24 srv-ub kernel: [241679.951328] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.163.125.213 DST=xx.xx.xx.231 LEN=44 TOS=0x08 PREC=0x20 TTL=242 ID=14405 PROTO=TCP SPT=42436 DPT=21297 WINDOW=14600 RES=0x00 SYN URGP=0
Feb 27 15:39:09 srv-ub kernel: [241686.038366] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.49.149.1 DST=xx.xx.xx.231 LEN=36 TOS=0x00 PREC=0x00 TTL=245 ID=19849 DF PROTO=UDP SPT=4086 DPT=123 LEN=16
Feb 27 15:39:27 srv-ub kernel: [241703.765119] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.136.225.9 DST=xx.xx.xx.231 LEN=44 TOS=0x00 PREC=0x00 TTL=109 ID=0 PROTO=TCP SPT=62985 DPT=9300 WINDOW=29200 RES=0x00 SYN URGP=0

중국, 불가리아, 키프로스 등 다양한 IP와 다양한 국가에서 더 많은 시도가 있습니다. (나는 whois를 사용하여 확인한다)

내 UFW 규칙은 다음과 같습니다.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    Anywhere
443                        ALLOW IN    Anywhere
8080                       ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
21/tcp                     DENY IN     Anywhere
22 (v6)                    ALLOW IN    Anywhere (v6)
443 (v6)                   ALLOW IN    Anywhere (v6)
8080 (v6)                  ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
21/tcp (v6)                DENY IN     Anywhere (v6)

내 질문은: 이것이 정상적인 트래픽입니까, 아니면 누군가가 내 서버에 액세스하려고 하는 것입니까? 이에 대해 내가 해야 할 일이 있나요?

시간을 내주셔서 감사합니다.

답변1

이게 정상적인 교통인가요?

예.

아니면 누군가 내 서버에 접근하려고 하는 걸까요?

예. 공용 IPv4 주소가 있는 모든 컴퓨터는 악성 봇넷에 의해 하루에도 수백 번 검사됩니다.

이에 대해 내가 해야 할 일이 있나요?

모든 시스템과 마찬가지로 SSH 비밀번호 로그인을 비활성화하고 인터넷에 적극적으로 노출될 필요가 없는 서비스를 실행하지 마십시오. 특히 포트 8080이 완전히 열려 있고 22, 443, 8080이 TCP로 제한되지 않는다는 사실은 문제가 발생하지 않고 최대한 단단히 잠그고 있음을 보여줍니다.

포트 21은 FTP이며 암호화되지 않습니다. 지금은 1993년이 아니라 2023년입니다. 인터넷에 노출된 FTP 서버를 운영할 이유가 전혀 없습니다. FTP는 오래된 프로토콜이고 안전하지 않으며 별도의 데이터를 열고 다른 포트에서 연결을 제어하는 ​​경향이 있으므로 어쨌든 방화벽 뒤에 안전하게 설정하는 것이 가장 좋습니다. 문자 인코딩을 표준화하지 않으며 디렉토리 목록 형식조차 모호합니다. 따라서 이를 사용하여 나열 가능한 디렉토리를 제공하거나 제3자가 업로드할 위치를 제공하는 데 사용하지 마십시오. 암호화되지 않은 인증을 사용하여 연결하는 것은 본질적으로 안전하지 않습니다.

광범위한 지원을 제공하는 여러 가지 경쟁 프로토콜이 있습니다. 웹 세계에서는 webDAV가 다소 인기가 있었고, 클라우드 세계에는 AWS S3 프로토콜/REST API의 여러 FOSS 구현이 있습니다. 다른 사람이 파일을 다운로드할 수 있는 소프트웨어 저장소가 필요한 경우 더 간단한 솔루션이 있습니다.

관련 정보