Почему Google приближается к моей машине VPS?

36

Я пытаюсь отслеживать сетевую активность на моей машине под управлением CentOS 7.

Согласно журналам iptables, похоже, что Google (74.125.133.108) много раз приближался к моему VPS.

Я вижу, что источник-порт всегда 993.

В чем причина этого?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
ishahak
источник

Ответы:

101

Обратите внимание ACK SYNна первый пакет в вашем дампе? Эти флаги указывают на второй этап трехстороннего рукопожатия TCP .

Поскольку этот пакет исходит от Google, это означает, что Google не «приближается к вашему VPS»; Ваш VPS подключается к Google через порт 993, и Google отправляет подтверждение.

Для дальнейшего изучения этого вопроса вы можете использовать iptablesкоманду для просмотра сведений (включая идентификаторы процессов) о соединениях, которые в данный момент активны. Вы также можете использовать подсистему аудита ядра для регистрации исходящих соединений по мере их возникновения.

Дэвид
источник
10
Спасибо за решение этой загадки. Действительно, у меня есть процесс, который загружает электронную почту из Google. Отдельное спасибо за предложение инструмента audctl!
Ишахак
28

Порт 993 для зашифрованного трафика IMAP.

В Gmail есть функция, позволяющая проверять внешние серверы IMAP и переносить эти электронные письма в ваш почтовый ящик.

Таким образом, я подозреваю, что ваш IP-адрес ранее был адресом чьего-либо почтового сервера, и они настроили Gmail для проверки этого сервера на наличие электронной почты. (В качестве альтернативы, но менее вероятно, что «кто-то» - это вы, и вы забыли, что сделали это.)

ceejayoz
источник
10
Это может правдоподобно объяснить, почему порт назначения будет 993 / tcp, но в случае OP это порт источника . Порт назначения - 47920 / TCP.
CVn
6
@aCVn Что говорит о том, что OP может подключаться к Google, а не наоборот ...
marcelm
4
@marcelm Это действительно так, как указано ACK SYNфлагами на первом пакете в списке. Я отправил более подробное объяснение в качестве ответа.
Дэвид
1
@marcelm Возможно, на сервере есть вредоносная программа, пытающаяся каким-либо образом спамить через gmail.
Qwertie
2
@Qwertie: Большинство вредоносных программ, отправляющих спам, предназначаются для портов SMTP (25/465/587) и не будут работать с IMAP.
благодарность