ทำไม Google ถึงเข้าใกล้เครื่อง VPS ของฉัน

ฉันพยายามติดตามกิจกรรมเครือข่ายบนเครื่องที่ใช้ CentOS 7

จากบันทึก iptables ดูเหมือนว่า Google (74.125.133.108) กำลังเข้าใกล้ VPS ของฉันหลายครั้ง

ฉันสามารถเห็นว่าพอร์ตต้นทางเสมอ 993

อะไรคือเหตุผลสำหรับสิ่งนั้น?

16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=2767 TOS=0x00 PREC=0xA0 TTL=107 ID=4668 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=331 TOS=0x00 PREC=0xA0 TTL=107 ID=4704 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=150 TOS=0x00 PREC=0xA0 TTL=107 ID=4705 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=299 TOS=0x00 PREC=0xA0 TTL=107 ID=4733 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4771 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=354 TOS=0x00 PREC=0xA0 TTL=107 ID=5026 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5094 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=128 TOS=0x00 PREC=0xA0 TTL=107 ID=5116 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5187 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=124 TOS=0x00 PREC=0xA0 TTL=107 ID=5189 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5195 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=339 TOS=0x00 PREC=0xA0 TTL=107 ID=5213 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=119 TOS=0x00 PREC=0xA0 TTL=107 ID=5214 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK PSH URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5229 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK URGP=0
16:22:12 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=5257 PROTO=TCP SPT=993 DPT=47920 WINDOW=248 RES=0x00 ACK FIN URGP=0

สังเกตเห็นACK SYNบนแพ็กเก็ตแรกในการถ่ายโอนข้อมูลของคุณ? ธงเหล่านั้นบ่งบอกถึงขั้นตอนที่สองของการจับมือ TCP สามทาง

เนื่องจากแพ็กเก็ตนี้มาจาก Google ก็แสดงว่า Google ไม่ได้ "เข้าใกล้ VPS ของคุณ"; VPS ของคุณกำลังเชื่อมต่อกับ Google บนพอร์ต 993 และ Google กำลังส่งการตอบรับกลับไป

เพื่อตรวจสอบเรื่องนี้เพิ่มเติมคุณสามารถใช้iptablesคำสั่งเพื่อดูรายละเอียด (รวมถึง ID กระบวนการ) ของการเชื่อมต่อที่ใช้งานอยู่ในปัจจุบัน คุณยังสามารถใช้ระบบย่อยการตรวจสอบเคอร์เนลเพื่อบันทึกการเชื่อมต่อขาออกเมื่อเกิดขึ้น

พอร์ต 993 ใช้สำหรับการรับส่งข้อมูล IMAP ที่เข้ารหัส

Gmail มีคุณสมบัติที่สามารถตรวจสอบเซิร์ฟเวอร์ IMAP ภายนอกและนำอีเมลเหล่านั้นมาไว้ในกล่องจดหมายของคุณ

ด้วยเหตุนี้ฉันจึงสงสัยว่าที่อยู่ IP ของคุณเคยเป็นเซิร์ฟเวอร์อีเมลของใครบางคนและพวกเขากำหนดค่า Gmail ให้ตรวจสอบเซิร์ฟเวอร์สำหรับอีเมลของพวกเขา (อีกวิธีหนึ่ง แต่มีโอกาสน้อยกว่าที่ "ใครบางคน" คือคุณและคุณลืมว่าคุณทำสิ่งนี้)