Вредоносное сканирование порта 631?
Я заметил, что один компьютер в моей домашней сети (192.168.1.60) пытается получить доступ к порту 631 моего главного компьютера (192.168.1.253). Я не осуществляю никакой печати. Я хотел бы знать, есть ли здесь проблема безопасности.
Это из /var/log/ufw.log. Это происходит с 3 августа 2021 года.
Aug 30 09:57:19 skunkworks kernel: [ 3150.549098] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=52383 DF PROTO=TCP SPT=32864 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:21 skunkworks kernel: [ 3152.832252] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9216 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:22 skunkworks kernel: [ 3153.845528] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9217 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:25 skunkworks kernel: [ 3156.221825] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38839 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:26 skunkworks kernel: [ 3157.223484] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38840 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:28 skunkworks kernel: [ 3159.735831] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59238 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:29 skunkworks kernel: [ 3160.760546] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59239 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Этот трафик впервые наблюдается при загрузке 192.168.1.60, до того, как любой пользователь вошел в систему. Это также происходит случайно после входа в систему.
Ufw блокирует его. На 192.168.1.60 нет никаких действий с принтером. На нем не настроены ни локальные, ни USB, ни сетевые принтеры. На 192.168.1.253 есть общий принтер, но он находится за брандмауэром. (Он является общим для печати с локальных виртуальных машин).
Указывает ли эта активность на то, что 192.168.1.60 может быть взломан?
Может ли быть так, что 192.168.1.60 просто пытается обнаружить принтеры в сети?
На обоих компьютерах установлена Ubuntu 20.04.3. Это брандмауэр 192.168.1.253:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
224.0.0.1 DENY IN Anywhere
ff02::1 DENY IN Anywhere (v6)
Anywhere DENY OUT 224.0.0.1
Anywhere (v6) DENY OUT ff02::1
1 ответ
Скорее всего, этот компьютер (не злонамеренно) пытается обнаружить принтеры в сети.
Порт 631 действительно печатает / CUPS. Возможно, используя чашки, одна машина может «совместно использовать» принтер с другими машинами, использующими тот же порт 631.
Можно безопасно позволить машине x.x.x.60 продолжать поиск принтеров. Количество используемой пропускной способности сети тривиально.
Вы также можете изменить настройки CUPS аппарата x.x.x.60, чтобы остановить сканирование.
Если аппарат x.x.x.60 не печатает, вы также можете просто остановить службу CUPS на этом аппарате. Чтобы навсегда остановить запуск чашек при загрузке, см. https://unix.stackexchange.com/questions/480082/how-to-disable-cups-service-on-reboot-with-systemd
sudo systemctl stop cups.service // Stop once