龙空技术网

一次“反常的445端口流量”排查

运维阁 490

前言:

现时我们对“海康 端口映射未生效”大体比较关切,你们都需要知道一些“海康 端口映射未生效”的相关知识。那么小编在网摘上网罗了一些有关“海康 端口映射未生效””的相关知识,希望各位老铁们能喜欢,兄弟们快快来学习一下吧!

在日常的点检中,使用兰云兰眼发现了一条“反常的445端口流量”,如下:

根据如上分析判断,大概是10.9.62.72这台机器在批量扫描445端口,我们在vyos路由器上抓包试试:

可以注意到,这台机器10.9.62.72一直在刷屏发送到某些ip地址的445端口,而且发出去的包的TCPflags总是SYN,说明是出不去的。嘿嘿,出口被封了,不允许上网。

那么我们看看这个机器是干什么的吧,先使用arp -an | grep 72查mac地址,然后看看mac地址的厂商是:

原来是一台华三的路由器。

再看看这个节点开放的服务吧,nmap -sS 10.9.62.72 -n -vv --open

打开80端口后是一个海康的界面,说明华三路由器后面有海康的设备做了映射的。

目前跟踪到此,能确定的是72后边有摄像头,而且也有主机已经中毒了,在拼命的扫描世界上的445端口,通知客户排毒~~

标签: #海康 端口映射未生效