Dlaczego Google zbliża się do mojej maszyny VPS?

36

Próbuję śledzić aktywność sieci na moim komputerze z systemem CentOS 7.

Według dzienników iptables wydaje się, że Google (74.125.133.108) zbliża się do mojego VPS wiele razy.

Widzę, że port źródłowy to zawsze 993.

Jaki jest tego powód?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables Ishahak
źródło

Odpowiedzi:

101

Zwróć uwagę ACK SYNna pierwszy pakiet na swoim zrzutu? Te flagi wskazują drugi etap trójstronnego uzgadniania protokołu TCP .

Ponieważ ten pakiet pochodzi od Google, oznacza to, że Google nie „zbliża się do twojego VPS”; Twój VPS łączy się z Google przez port 993, a Google wysyła potwierdzenie.

Aby to zbadać dalej, możesz użyć iptablespolecenia, aby wyświetlić szczegóły (w tym identyfikatory procesów) połączeń, które są obecnie aktywne. Można również użyć podsystemu kontroli jądra do rejestrowania połączeń wychodzących w miarę ich powstawania.

David
źródło
10
Dzięki za rozwiązanie tej tajemnicy. Rzeczywiście mam proces pobierania wiadomości e-mail z Google. Specjalne podziękowania za sugestię narzędzia audytu!
ishahak
28

Port 993 służy do szyfrowania ruchu IMAP.

Gmail ma funkcję, dzięki której może sprawdzać zewnętrzne serwery IMAP i przenosić te e-maile do skrzynki odbiorczej.

Podejrzewam, że Twój adres IP był wcześniej adresem czyjegoś serwera e-mail i skonfigurowali Gmaila, aby sprawdzał ten serwer pod kątem e-maili. (Alternatywnie, ale mniej prawdopodobne, że „ktoś” jest tobą i zapomniałeś, że to zrobiłeś.)

ceejayoz
źródło
10
Może to prawdopodobnie wyjaśniać, dlaczego port docelowy miałby 993 / tcp, ale w przypadku OP jest to port źródłowy . Port docelowy to 47920 / tcp.
CVn
6
@aCVn Co sugeruje, że PO może łączyć się z Google, a nie na odwrót ...
marcelm
4
@marcelm Tak właśnie jest, jak wskazują ACK SYNflagi pierwszego pakietu na liście. W odpowiedzi opublikowałem bardziej szczegółowe wyjaśnienie.
David
1
@marcelm Być może na serwerze jest złośliwe oprogramowanie, które próbuje w jakiś sposób wysłać spam za pośrednictwem Gmaila.
Qwertie
2
@Qwertie: Większość złośliwego oprogramowania wysyłającego spam trafiłaby na porty SMTP (25/465/587) i nie zawracałaby sobie głowy IMAP.
grawity