当我查询Get-NetTCPConnection -LocalPort 3389时，为什么会出现奇怪的I？

Question

我正在试图确定我是否通过RDP连接，并将客户端IP存储在一个环境变量中，并有一个计划好的任务，每当我登录时该任务就会运行。我的计划是找到与3389端口的已建立连接。然而，我看到奇怪的it甚至不在它正在访问的本地地址的子网中。例如：

LocalAddress                        LocalPort RemoteAddress                       RemotePort State
------------                        --------- -------------                       ---------- -----
::                                  3389      ::                                  0          Listen
192.168.1.136                       3389      195.78.54.160                       57803      Established
192.168.1.136                       3389      192.168.1.138                       58194      Established
0.0.0.0                             3389      0.0.0.0                             0          Listen

它确实显示了从192.168.1.138到服务器的RDP，但也有一个来自195.78.54.160的连接，我根本不认识它。当我重复执行此查询时，这些奇怪的连接可能会不时地更改为IP(如191.96.185.224 )。有时，有两个这样的联系在同一时间。这些联系是什么？通过IP查找，这些IP属于我以前从未听说过的PIA (我在任何地方都找不到它)。这和我的本地网络中的RDP有什么关系？如果它们是设计出来的，我如何过滤掉它们？

Answer 1

对互联网的扫描是司空见惯的，由具有不同程度合法性的行为者进行，有些是良性的，有些则不是。在公开公开的机器上看到这样的连接并不意外。RDP不属于您希望向整个Internet公开的服务类别。

正如您的状态和输出所示，您的机器有一个私有RFC1918地址。我会检查您的防火墙/路由器，看看它是否正在进行端口转发，从它的公共IP地址到您的专用局域网地址。