Записи в логе: исходящий на порт 3389 с флагами ACK+PSH
Добавлено: 30 дек 2019, 10:37
Приветствую!
Рассматриваю лог на микротике. Обнаруживаю несколько записей по шаблону:
03:47:38 firewall,info forward: in:LAN0_bridge out:ether9, src-mac 00:15:17:xx:yy:xx, proto TCP (ACK,PSH), 192.168.0.5:3389->62.210.142.196:5907, NAT (192.168.0.5:3389->95.75.48.568:3399)->62.210.142.xxx:5907, len 59
192.168.0.5 - адрес терминального сервера в локальной сети.
95.75.48.568 - публичный адрес ether9 маршрутизатора.
ether9 - интерфейс, смотрящий на провайдера
LAN0_bridge, соответственно, шлюз для локальной сети на граничном маршрутизаторе.
src-mac 00:15:17:xx:yy:xx - мак сетевого интерфейса терминального сервера
62.210.142.xxx - адрес во Франции.
Порт 5907 - вообще-то, это порт , который часто указывают для VNC-подключению (стандартный там 5900). Клиент, кстати, на терминале есть.
По логам сервера, на него никто удачно не подключался в этот период по RDP.
Снаружи идет постоянный "брутфорс", но в лог с флагами ACK и ACK+PSH попали только этих несколько записей подряд.
Как объяснить эту запись?
Рассматриваю лог на микротике. Обнаруживаю несколько записей по шаблону:
03:47:38 firewall,info forward: in:LAN0_bridge out:ether9, src-mac 00:15:17:xx:yy:xx, proto TCP (ACK,PSH), 192.168.0.5:3389->62.210.142.196:5907, NAT (192.168.0.5:3389->95.75.48.568:3399)->62.210.142.xxx:5907, len 59
192.168.0.5 - адрес терминального сервера в локальной сети.
95.75.48.568 - публичный адрес ether9 маршрутизатора.
ether9 - интерфейс, смотрящий на провайдера
LAN0_bridge, соответственно, шлюз для локальной сети на граничном маршрутизаторе.
src-mac 00:15:17:xx:yy:xx - мак сетевого интерфейса терминального сервера
62.210.142.xxx - адрес во Франции.
Порт 5907 - вообще-то, это порт , который часто указывают для VNC-подключению (стандартный там 5900). Клиент, кстати, на терминале есть.
По логам сервера, на него никто удачно не подключался в этот период по RDP.
Снаружи идет постоянный "брутфорс", но в лог с флагами ACK и ACK+PSH попали только этих несколько записей подряд.
Как объяснить эту запись?