Mengapa Google mendekati mesin VPS saya?

36

Saya mencoba melacak aktivitas jaringan pada mesin saya yang menjalankan CentOS 7.

Menurut iptables log, tampaknya Google (74.125.133.108) mendekati VPS saya berkali-kali.

Saya dapat melihat bahwa source-port selalu 993.

Apa alasan untuk itu?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0
iptables ishahak
sumber

Jawaban:

101

Perhatikan ACK SYNpaket pertama di dump Anda? Bendera tersebut menunjukkan tahap kedua dari jabat tangan TCP tiga arah .

Karena paket ini berasal dari Google, ini menunjukkan bahwa Google tidak "mendekati VPS Anda"; VPS Anda terhubung ke Google di port 993, dan Google mengirim kembali pemberitahuan.

Untuk menyelidiki ini lebih lanjut, Anda dapat menggunakan iptablesperintah untuk melihat detail (termasuk ID proses) dari koneksi yang sedang aktif. Anda juga dapat menggunakan subsistem audit kernel untuk mencatat koneksi keluar saat terjadi.

David
sumber
10
Terima kasih telah memecahkan misteri ini. Memang saya memiliki proses mengunduh email dari Google. Terima kasih khusus untuk menyarankan alat auditctl!
ishahak
28

Port 993 adalah untuk lalu lintas IMAP terenkripsi.

Gmail memiliki fitur di mana ia dapat memeriksa server IMAP eksternal dan membawa email-email itu ke kotak masuk Anda.

Karena itu, saya menduga alamat IP Anda sebelumnya adalah dari server email seseorang, dan mereka mengonfigurasi Gmail untuk memeriksa server mereka untuk email mereka. (Atau, tetapi lebih kecil kemungkinannya, "seseorang" itu adalah Anda, dan Anda lupa Anda melakukan ini.)

ceejayoz
sumber
10
Ini mungkin menjelaskan mengapa port tujuan adalah 993 / tcp, tetapi dalam kasus OP, ini adalah port sumber . Port tujuan adalah 47920 / tcp.
CVn
6
@ aCVn Yang menunjukkan bahwa OP mungkin terhubung ke Google, bukan sebaliknya ...
marcelm
4
@marcelm Memang demikian, seperti yang ditunjukkan oleh ACK SYNtanda pada paket pertama dalam daftar. Saya telah memposting penjelasan yang lebih rinci sebagai jawaban.
David
1
@marcelm Mungkin ada malware di server yang mencoba mengirim spam melalui gmail.
Qwertie
2
@Qwertie: Sebagian besar malware yang mengirim spam akan digunakan untuk port SMTP (25/465/587) dan tidak akan repot dengan IMAP.
grawity