为了节点伪装的足够像,我开启了 443,但是众所周知,这个端口是互联网上最常被扫的

问了下 gpt,输入命令,快速统计当前系统上 TCP 连接的最常见状态

ss -ant | awk 'NR>1 {print $1}' | sort | uniq -c | sort -nr
280 SYN-RECV 36 ESTAB 22 TIME-WAIT 5 LISTEN 4 CLOSE-WAIT 2 CLOSING

280 个半连接 —— 典型的 TCP SYN flood(低强度)或端口暴力扫描

这些请求发 SYN,但从不发 ACK,于是系统保持 SYN-RECV 状态直到超时(一般 60s)所以 280 SYN-RECV 非常典型 = 外部恶意或探测流量

因为扫描器工作方式是这样的:

给你发一个 SYN

不等待回应,也不完成三次握手

直接去扫下一个 IP

它们目标是:搜集开放端口、TLS 指纹、反向代理等信息

所以我放弃了 443,使用高位端口,并且用 ufw 关了 443,果然效果立竿见影,现在只有 30 多了