为什么查询Get-NetTCPConnection -LocalPort 3389 有奇怪的IP
Why are there strange IPs when I query Get-NetTCPConnection -LocalPort 3389
我正在尝试确定我是否通过 RDP 连接,并将客户端 IP 存储在一个环境变量中,其中包含一个在我登录时运行的计划任务。我的计划是找到与 3389 端口建立的连接。但是,我看到奇怪的 IP,它们甚至不在它正在访问的本地地址的子网中。例如:
LocalAddress LocalPort RemoteAddress RemotePort State
------------ --------- ------------- ---------- -----
:: 3389 :: 0 Listen
192.168.1.136 3389 195.78.54.160 57803 Established
192.168.1.136 3389 192.168.1.138 58194 Established
0.0.0.0 3389 0.0.0.0 0 Listen
它确实显示 192.168.1.138 我从哪个 RDP 连接到服务器,但也有一个来自 195.78.54.160 的连接,我根本不认识。当我反复执行此查询时,这些奇怪的连接会不时更改为 191.96.185.224 这样的 IP。有时,一次有两个这样的连接。这些联系是什么?通过IP查找,这些IP属于我以前从未听说过的PIA VPN(我也找不到它安装在任何地方)。这与我本地网络中的 RDP 有什么关系?如果它们是故意存在的,我该如何过滤掉它们?
互联网扫描很常见,由不同合法程度的行为者进行,有些是良性的,有些则不是。在 public 只暴露的机器上看到这样的连接并不意外。 RDP 不属于您希望向整个 Internet 公开的服务类别。
如您所述,输出显示,您的机器有一个私有 RFC1918 地址。我会检查您的 firewall/router 并查看它是否正在从其 public IP 地址到您的私人 LAN 地址进行端口转发。
我正在尝试确定我是否通过 RDP 连接,并将客户端 IP 存储在一个环境变量中,其中包含一个在我登录时运行的计划任务。我的计划是找到与 3389 端口建立的连接。但是,我看到奇怪的 IP,它们甚至不在它正在访问的本地地址的子网中。例如:
LocalAddress LocalPort RemoteAddress RemotePort State
------------ --------- ------------- ---------- -----
:: 3389 :: 0 Listen
192.168.1.136 3389 195.78.54.160 57803 Established
192.168.1.136 3389 192.168.1.138 58194 Established
0.0.0.0 3389 0.0.0.0 0 Listen
它确实显示 192.168.1.138 我从哪个 RDP 连接到服务器,但也有一个来自 195.78.54.160 的连接,我根本不认识。当我反复执行此查询时,这些奇怪的连接会不时更改为 191.96.185.224 这样的 IP。有时,一次有两个这样的连接。这些联系是什么?通过IP查找,这些IP属于我以前从未听说过的PIA VPN(我也找不到它安装在任何地方)。这与我本地网络中的 RDP 有什么关系?如果它们是故意存在的,我该如何过滤掉它们?
互联网扫描很常见,由不同合法程度的行为者进行,有些是良性的,有些则不是。在 public 只暴露的机器上看到这样的连接并不意外。 RDP 不属于您希望向整个 Internet 公开的服务类别。
如您所述,输出显示,您的机器有一个私有 RFC1918 地址。我会检查您的 firewall/router 并查看它是否正在从其 public IP 地址到您的私人 LAN 地址进行端口转发。