路由有人尝试入侵,有一段日志不怎么看得懂

keysersoze88

前2天不小心把防火墙的wan口入站打开了,马上一大波各个国家的ip都过来尝试登陆了.

大概看了下大部分都是尝试失败,然后就没有尝试.

只有一个ip(216.218.206.118)比较特别,不是尝试登陆而是发了什么数据包,日志里面东西也看不懂,想找大神看下这是在干嘛?

1. Fri Mar  2 09:23:00 2018 daemon.info : 16[NET] received packet: from 216.218.206.118[11401] to 58.219.xx.xx[500] (64 bytes)
   
2. Fri Mar  2 09:23:00 2018 daemon.info : 16[ENC] parsed ID_PROT request 0 [ SA ]
   
3. Fri Mar  2 09:23:00 2018 daemon.info : 16[IKE] 216.218.206.118 is initiating a Main Mode IKE_SA
   
4. Fri Mar  2 09:23:00 2018 authpriv.info : 16[IKE] 216.218.206.118 is initiating a Main Mode IKE_SA
   
5. Fri Mar  2 09:23:00 2018 daemon.info : 16[CFG] received proposals: IKE:CAST_CBC
   
6. Fri Mar  2 09:23:00 2018 daemon.info : 16[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/AES_XCBC_96/HMAC_SHA1_96/PRF_AES128_XCBC/PRF_HMAC_SHA1/MODP_3072/MODP_4096/MODP_8192/MODP_2048/MODP_1024
   
7. Fri Mar  2 09:23:00 2018 daemon.info : 16[IKE] no proposal found
   
8. Fri Mar  2 09:23:00 2018 daemon.info : 16[ENC] generating INFORMATIONAL_V1 request 779003155 [ N(NO_PROP) ]
   
9. Fri Mar  2 09:23:00 2018 daemon.info : 16[NET] sending packet: from 58.219.xx.xx[500] to 216.218.206.118[11401] (56 bytes)

复制代码

缘无尽

你的是斐讯吗？

badcrazy

   真是无语了，去查下不就知道了，这是你的ss服务器

opa

公网都会有网络爬虫自动地抓取网页信息。

pwd110

这是建立virtual**数据，不是入侵

keysersoze88

badcrazy 发表于 2018-3-2 15:15
真是无语了，去查下不就知道了，这是你的ss服务器

知道了,是路由开了ss服务,被探测了,以前没在日志里面见过,这次居然出现了,不知道是不是和我无意间打开了wan口入站有关

shierji

楼上虽然比楼主对一点但还是不对 你这是通过strongswan开了一个 IKEv1 or IKEv2服务器 对方在试图登录