これはブラウジング中にのみ発生します。私のルーターは着信トラフィックをブロックしないので、コンピューターのファイアウォールがすべての作業を行う必要があります。下のログでは Firefox を使用しましたが、これはどのブラウザーでも発生します。私の Firefox では、HTTP2、Web ワーカー、サービス ワーカー、WebRTC、その他多くのものが無効/ブロックされているため、サーバーがどのようにしてコンピューターへの不要な接続を要求しているのか、私にはまったく理解できません。これは、ブラウジング中にいくつかのサイトで発生しますが、すべてのサイトで発生するわけではありません。
Date Time Direction Process path Protocol Source IP Src Port Dest. IP Dest.Port Action Window title
17/04 16:23:59 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50755 | 204.79.197.200 | 443 | Allowed | Startpage.com - The world's most private search engine - Mozilla Firefox
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50730 | Blocked |
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50735 | Blocked |
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50735 | Blocked |
17/04 16:25:25 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50766 | 37.252.238.25 | 443 | Allowed | unsolicited incoming connections at DuckDuckGo - Mozilla Firefox
17/04 16:25:25 | In | - | TCP | 37.252.238.25 | 443 | 10.0.0.3 | 50766 | Blocked |
17/04 16:29:50 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50785 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50786 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50787 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50788 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:54 | In | - | TCP | 201.48.71.43 | 443 | 10.0.0.3 | 50788 | Blocked |
17/04 17:03:12 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50986 | 151.101.1.69 | 443 | Allowed | Super User - Mozilla Firefox
17/04 17:03:12 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50987 | 151.101.1.69 | 443 | Allowed | Super User - Mozilla Firefox
17/04 17:03:18 | In | - | TCP | 151.101.1.69 | 443 | 10.0.0.3 | 50986 | Blocked |
17/04 17:03:18 | In | - | TCP | 151.101.1.69 | 443 | 10.0.0.3 | 50987 | Blocked |
他にも多くの例がありますが、すべて同じパターンに従います。サイトにアクセスすると、特定の IP への接続が作成され、その後、同じ IP から 1 つ以上の一方的な着信接続試行が発生します。
これが何で、なぜ、どのように起こっているのか知っている人はいますか?
答え1
いいえ、あなたのコンピュータのファイアウォールがあなたを騙していると思います。
ローカル ポートとリモート ポートの選択から判断すると、既存の送信接続に属する完全に正常な応答パケットが検出されている可能性がありますが、何らかの理由でその接続に関連付けることができません。
接続が着信か発信かを認識するには、ファイアウォールがステートフルである必要があります。つまり、すべての TCP パケットに注意を払い、対応するアドレスとポートのペアを記憶する必要があります。たとえば、ローカル アドレス (10.0.0.3、50766) とリモート アドレス (37.252.238.25、443) を持つすべてのパケットが、ブラウザーが確立した発信接続に属していることを認識します。
応答パケットが到着すると、ファイアウォールは接続テーブルを確認し、アドレス ペア (37.252.238.25, 443) から (10.0.0.3, 50766) が既に認識されていることを確認します。つまり、このパケットは新しい接続ではなく、既存の (送信) 接続に対する応答であり、許可される必要があります。
しかし、何らかの理由で状態情報が同期されなくなった場合(例えば、ホスト自体は接続がまだ開いていると考えているが、ファイアウォールはそれをすでに忘れているなど)、ファイアウォールは着信パケットの種類を簡単に判断できなくなります。この場合、ファイアウォールは知っている着信パケットは元々送信接続に属しているため、代わりに別の「着信」エントリに関連付けられることになります。
たとえば、コンピュータがたった今送信済み「接続終了」FINパケットを送信しましたが、リモートサーバーはまだ受け取っていない(データ転送は瞬時に行われないため)ファイアウォールはパケットを正常に送信し続けます。ファイアウォールが送信 FIN を確認するとすぐに接続を忘れると、当然、それらの受信パケットが同じ接続に属していると認識できなくなります。(半閉じ接続は TCP では有効ですが、ファイアウォールがこれを認識しないのは当然です。)
これは、ファイアウォールの状態制限が非常に小さい場合にも発生することがあります。たとえば、一度に 50 または 100 を超える状態を追跡できない家庭用ルーターを見たことがあります (これには TCP 接続だけでなく、UDP ストリームも含まれます。たとえば、UDP 経由の各 DNS 要求は、応答を許可できるように新しい状態を作成します)。同様に、一部のファイアウォールの状態の有効期限は非常に短く、TCP 接続が 1 分または 2 分アイドル状態になるとすぐに忘れてしまうことがありますが、それよりもかなり長い間アイドル状態のままであることはまったく正常です。
(ファイアウォールは、両方のホストが正常とみなすものを拒絶することに熱心すぎることがあります。たとえば、ブラウザがTCP Fast Openの実験を始めたとき、当時ISPから提供された自宅のルーターは、全てTFO パケットは「SYN パケットにはデータを含めることはできない」という信念に基づいており、毎回ログに「侵入警告」と表示されていました。これが、QUIC が TCP とは別のものとして開発されている大きな理由だと思います。