Записи в логе: исходящий на порт 3389 с флагами ACK+PSH

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
Chai
Сообщения: 63
Зарегистрирован: 25 авг 2017, 08:13

Приветствую!

Рассматриваю лог на микротике. Обнаруживаю несколько записей по шаблону:

03:47:38 firewall,info forward: in:LAN0_bridge out:ether9, src-mac 00:15:17:xx:yy:xx, proto TCP (ACK,PSH), 192.168.0.5:3389->62.210.142.196:5907, NAT (192.168.0.5:3389->95.75.48.568:3399)->62.210.142.xxx:5907, len 59

192.168.0.5 - адрес терминального сервера в локальной сети.
95.75.48.568 - публичный адрес ether9 маршрутизатора.
ether9 - интерфейс, смотрящий на провайдера
LAN0_bridge, соответственно, шлюз для локальной сети на граничном маршрутизаторе.
src-mac 00:15:17:xx:yy:xx - мак сетевого интерфейса терминального сервера

62.210.142.xxx - адрес во Франции.

Порт 5907 - вообще-то, это порт , который часто указывают для VNC-подключению (стандартный там 5900). Клиент, кстати, на терминале есть.
По логам сервера, на него никто удачно не подключался в этот период по RDP.
Снаружи идет постоянный "брутфорс", но в лог с флагами ACK и ACK+PSH попали только этих несколько записей подряд.

Как объяснить эту запись?


Ответить