Регистрация Войти
Рейтинг:0
avatar Ubuntu

Вредоносное сканирование порта 631?

флаг id
myuser7k23

Я заметил, что один компьютер в моей домашней сети (192.168.1.60) пытается получить доступ к порту 631 моего основного компьютера (192.168.1.253). Я не занимаюсь печатью. Я хотел бы знать, есть ли проблема с безопасностью.

Это из /var/log/ufw.log. Это происходит с 3 августа 2021 года.

30 августа 09:57:19 ядро ​​​​skunkworks: [ 3150.549098] [UFW BLOCK] IN = enp1s0f0 OUT = MAC = 10: dd: b1: ea: b8: 8b: 74: e5: 0b: 39: e8: 20: 08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=52383 DF PROTO=TCP SPT=32864 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
30 августа 09:57:21 ядро ​​​​skunkworks: [ 3152.832252] [UFW BLOCK] IN = enp1s0f0 OUT = MAC = 10: dd: b1: ea: b8: 8b: 74: e5: 0b: 39: e8: 20: 08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9216 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
30 августа, 09:57:22, ядро ​​​​skunkworks: [3153.845528] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9217 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
30 августа 09:57:25 ядро ​​​​skunkworks: [ 3156.221825] [UFW BLOCK] IN = enp1s0f0 OUT = MAC = 10: dd: b1: ea: b8: 8b: 74: e5: 0b: 39: e8: 20: 08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38839 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
30 августа, 09:57:26 ядро ​​​​skunkworks: [3157.223484] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38840 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
30 августа 09:57:28 ядро ​​​​skunkworks: [ 3159.735831] [UFW BLOCK] IN = enp1s0f0 OUT = MAC = 10: dd: b1: ea: b8: 8b: 74: e5: 0b: 39: e8: 20: 08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59238 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0 
30 августа, 09:57:29 ядро ​​skunkworks: [3160.760546] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08: 00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59239 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0

Этот трафик впервые наблюдается при загрузке 192.168.1.60, перед любой пользователь вошел в систему. Это также происходит случайным образом после входа в систему.

Ufw блокирует это. Я не выполняю никаких действий с принтером на 192.168.1.60. В нем не настроены ни локальные, ни USB, ни сетевые принтеры. 192.168.1.253 имеет общий принтер, но он находится за брандмауэром. (Он используется совместно для печати с локальных виртуальных машин).

Означает ли это действие, что 192.168.1.60 может быть скомпрометирован?

Может быть, 192.168.1.60 просто пытается обнаружить принтеры в сети?

На обоих компьютерах установлена ​​Ubuntu 20.04.3. Это брандмауэр 192.168.1.253:

Статус: активен
Ведение журнала: включено (низкий уровень)
По умолчанию: запрещать (входящие), разрешать (исходящие), отключенные (маршрутизируемые)
Новые профили: пропустить

К действию от
-- ------ ----
224.0.0.1 ЗАПРЕТ ВСЕГДА
ff02::1 DENY IN Anywhere (v6)

Везде DENY OUT 224.0.0.1
Anywhere (v6) DENY OUT ff02::1
70
1 + 0
Рейтинг:2
user535733 avatar Ubuntu
флаг cn
user535733

Скорее всего, эта машина (не злонамеренно) пытается обнаружить принтеры в сети.

Порт 631 действительно печатает/CUPS. С помощью чашек одна машина может «поделиться» принтером с другими машинами, использующими тот же порт 631.

  • Безопасно позволить машине x.x.x.60 продолжить поиск принтеров. Объем используемой пропускной способности сети тривиален.

  • Кроме того, вы можете изменить настройки CUPS машины x.x.x.60, чтобы остановить сканирование.

  • Если машина x.x.x.60 не печатает, вы также можете просто остановить службу CUPS на этой машине. К постоянно остановить запуск чашек при загрузке, см. https://unix.stackexchange.com/questions/480082/how-to-disable-cups-service-on-reboot-with-systemd

   sudo systemctl stop cups.service // Остановить один раз
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.