我的链接状态当时大致是:(win7 - A, 可疑地址 - B, ssh服务器 - C,客户端网关 - D)
A:3389 -> B:xxxxx1
A:3389 -> B:xxxxx2
A:3389 -> B:xxxxx3
A:3389 -> B:xxxxx4
C:22 -> D:xxxxx (这个客户端网关端口无关紧要)
矛盾1:若真像网关状态所说通过ssh隧道传输可疑上传,网关不应该知道A到B的连接;
矛盾2:因为当我ban了地址B后,可疑上传立刻停止,传输应该实际通过A到B进行,但网关描述上传量却是在C到D;
矛盾3:抛开矛盾1,若真是通过我的加密隧道上传,那么由于隧道这端是我的putty客户端,也就是RDP客户端,那么除非可疑地址B已经又和我的客户端建立了我所不知道的连接,这点我事后才想到,应该查查客户端连接状态,但是我之后允许可疑地址B却再也无法复制当时状态。而客户端及其所属网络可以假定是安全的,被攻击可能极小。
我现在只能怀疑西红柿网关的流量统计/计算功能有bug
A:3389 -> B:xxxxx1
A:3389 -> B:xxxxx2
A:3389 -> B:xxxxx3
A:3389 -> B:xxxxx4
C:22 -> D:xxxxx (这个客户端网关端口无关紧要)
矛盾1:若真像网关状态所说通过ssh隧道传输可疑上传,网关不应该知道A到B的连接;
矛盾2:因为当我ban了地址B后,可疑上传立刻停止,传输应该实际通过A到B进行,但网关描述上传量却是在C到D;
矛盾3:抛开矛盾1,若真是通过我的加密隧道上传,那么由于隧道这端是我的putty客户端,也就是RDP客户端,那么除非可疑地址B已经又和我的客户端建立了我所不知道的连接,这点我事后才想到,应该查查客户端连接状态,但是我之后允许可疑地址B却再也无法复制当时状态。而客户端及其所属网络可以假定是安全的,被攻击可能极小。
我现在只能怀疑西红柿网关的流量统计/计算功能有bug