Pourquoi Google approche-t-il ma machine VPS?

36

J'essaie de suivre les activités du réseau sur ma machine exécutant CentOS 7.

Selon les journaux iptables, il semble que Google (74.125.133.108) se rapproche de mon VPS à plusieurs reprises.

Je peux voir que le port-source est toujours 993.

Quelle est la raison de ceci?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables Ishahak
la source

Réponses:

101

Vous remarquez le ACK SYNpremier paquet de votre vidage? Ces drapeaux indiquent la deuxième étape de la négociation tridirectionnelle TCP .

Comme ce paquet provient de Google, cela indique que Google ne "s'approche pas de votre VPS"; votre VPS se connecte à Google sur le port 993 et ​​Google renvoie un accusé de réception.

Pour approfondir cette question, vous pouvez utiliser la iptablescommande pour afficher les détails (y compris les ID de processus) des connexions actuellement actives. Vous pouvez également utiliser le sous-système d'audit du noyau pour consigner les connexions sortantes au fur et à mesure qu'elles se produisent.

David
la source
10
Merci d'avoir résolu ce mystère. En effet, j'ai un processus qui télécharge le courrier électronique de Google. Un merci spécial pour avoir suggéré l'outil d'auditctl!
Ishahak le
28

Le port 993 est destiné au trafic IMAP chiffré.

Gmail dispose d'une fonctionnalité permettant de vérifier les serveurs IMAP externes et de transférer ces courriels dans votre boîte de réception.

En tant que tel, je soupçonne que votre adresse IP était auparavant celle du serveur de messagerie de quelqu'un, et celui-ci a configuré Gmail pour vérifier ce serveur pour ses emails. (Alternativement, mais moins probable, ce "quelqu'un" est vous, et vous avez oublié de l'avoir fait.)

ceejayoz
la source
10
Cela pourrait expliquer de manière plausible pourquoi le port de destination serait 993 / TCP, mais dans le cas de OP, il s’agit du port source . Le port de destination est 47920 / tcp.
un CVn
6
@aCVn Ce qui suggère que l'OP pourrait se connecter à Google au lieu de l'inverse ...
marcelm
4
@marcelm C'est bien le cas, comme l'indiquent les ACK SYNdrapeaux sur le premier paquet de la liste. J'ai posté une explication plus détaillée comme réponse.
David
1
@marcelm Il existe peut-être un malware sur le serveur qui tente d'envoyer du spam via Gmail.
Qwertie
2
@ Qwertie: la plupart des logiciels malveillants qui envoient des spams optent pour les ports SMTP (25/465/587) et ne s'embarrassent pas avec IMAP.
Grawity le