이는 탐색 중에만 발생합니다. 나는 들어오는 트래픽을 차단하지도 않는 라우터 중 하나를 가지고 있으므로 내 컴퓨터의 방화벽이 모든 작업을 수행해야 합니다. 아래 로그에서는 Firefox를 사용했지만 이는 모든 브라우저에서 발생합니다. 내 Firefox에서는 HTTP2, 웹 작업자, 서비스 작업자, WebRTC 및 기타 많은 것들이 비활성화/차단되어 있으므로 서버가 내 컴퓨터에 대한 원치 않는 연결을 어떻게 요청하는지 정말 미스터리입니다. 이러한 현상은 여러 사이트를 탐색할 때 발생하지만 전부는 아닙니다.
Date Time Direction Process path Protocol Source IP Src Port Dest. IP Dest.Port Action Window title
17/04 16:23:59 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50755 | 204.79.197.200 | 443 | Allowed | Startpage.com - The world's most private search engine - Mozilla Firefox
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50730 | Blocked |
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50735 | Blocked |
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50735 | Blocked |
17/04 16:25:25 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50766 | 37.252.238.25 | 443 | Allowed | unsolicited incoming connections at DuckDuckGo - Mozilla Firefox
17/04 16:25:25 | In | - | TCP | 37.252.238.25 | 443 | 10.0.0.3 | 50766 | Blocked |
17/04 16:29:50 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50785 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50786 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50787 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50788 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:54 | In | - | TCP | 201.48.71.43 | 443 | 10.0.0.3 | 50788 | Blocked |
17/04 17:03:12 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50986 | 151.101.1.69 | 443 | Allowed | Super User - Mozilla Firefox
17/04 17:03:12 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50987 | 151.101.1.69 | 443 | Allowed | Super User - Mozilla Firefox
17/04 17:03:18 | In | - | TCP | 151.101.1.69 | 443 | 10.0.0.3 | 50986 | Blocked |
17/04 17:03:18 | In | - | TCP | 151.101.1.69 | 443 | 10.0.0.3 | 50987 | Blocked |
다른 많은 예가 있지만 모두 동일한 패턴을 따릅니다. 특정 IP에 대한 연결을 생성하는 사이트에 액세스하면 동일한 IP에서 하나 이상의 원치 않는 수신 연결 시도가 발생합니다.
누가, 왜, 어떻게 이런 일이 일어나는지 아는 사람이 있나요?
답변1
아니요, 내 생각에는 귀하 컴퓨터의 방화벽이 귀하에게 거짓말을 하고 있는 것 같습니다.
로컬 및 원격 포트 선택으로 판단하면 기존 아웃바운드 연결에 속하는 완벽하게 정상적인 응답 패킷이 표시되지만 어떤 이유로 해당 연결과 연결할 수 없는 것 같습니다.
연결이 들어오고 나가는지 확인하려면 방화벽이 상태 저장되어야 합니다. 즉, 모든 TCP 패킷에 주의를 기울이고 해당 주소 및 포트 쌍을 기억합니다. 예를 들어, 로컬 주소(10.0.0.3, 50766)와 원격 주소(37.252.238.25, 443)가 있는 모든 패킷이 브라우저가 만든 아웃바운드 연결에 속한다는 것을 알고 있습니다.
응답 패킷이 들어오면 방화벽은 연결 테이블을 보고 주소 쌍(37.252.238.25, 443)에서 (10.0.0.3, 50766)이 이미 알려져 있는지 확인합니다. 패킷은 새로운 연결이 아니라 단지 연결일 뿐입니다. 기존(아웃바운드) 연결에 대한 응답이며 허용되어야 합니다.
그러나 어떤 이유로 인해 상태 정보가 비동기화되면(예: 호스트 자체에서는 연결이 아직 열려 있다고 생각하는데 방화벽이 이미 이를 잊어버린 경우) 들어오는 패킷 유형을 쉽게 확인할 수 없습니다. 이 경우 방화벽은 더 이상알고 있다들어오는 패킷은 원래 아웃바운드였던 연결에 속하므로 결국 이를 별도의 "인바운드" 항목과 연결하게 됩니다.
예를 들어, 가능한 원인은 컴퓨터가 방금 지금전송된"연결 종료" FIN 패킷이 발생했지만 원격 서버에는아직받지 못했다(데이터 전송이 즉각적이지 않기 때문에) 여전히 행복하게 패킷을 보내고 있습니다. 방화벽이 나가는 FIN을 확인한 후 즉시 연결을 잊어버린다면 당연히 들어오는 패킷이 여전히 동일한 연결에 속하는 것으로 인식할 수 없습니다. (반쯤 닫힌 연결은 TCP에서 유효하지만 이를 깨닫지 못하도록 방화벽을 통과하지 않을 것입니다.)
이는 방화벽의 상태 제한이 매우 작은 경우에도 발생합니다. 예를 들어 한 번에 50개 또는 100개 이상의 상태를 추적할 수 없는 홈 라우터를 본 적이 있습니다(여기에는 TCP 연결뿐만 아니라 UDP 스트림도 포함됩니다. 예: 각 DNS UDP를 통한 요청은 응답이 허용될 수 있도록 새로운 상태를 만듭니다. 마찬가지로, 일부 방화벽은 상태 만료 시간이 매우 짧습니다. 연결이 그보다 꽤 오랫동안 유휴 상태로 유지되는 것이 완전히 정상임에도 불구하고 1~2분 동안 유휴 상태가 되자마자 TCP 연결을 잊어버릴 수 있습니다.
(때때로 방화벽은 두 호스트 모두 정상으로 간주하는 것을 거부하기 위해 지나치게 노력합니다. 예를 들어 브라우저가 TCP Fast Open을 실험하기 시작했을 때 당시 ISP에서 제공한 홈 라우터가 차단되었습니다.모두TFO 패킷은 "SYN 패킷은 데이터를 포함할 수 없다"는 믿음을 바탕으로 매번 로그에 "침입 경고"를 외쳤습니다. 이것이 QUIC이 TCP와 별개로 개발되는 이유 중 큰 부분이라고 생각합니다.)