ข้อความนี้เต็มไปด้วย syslog ของฉันจะหาได้อย่างไรว่ามันมาจากไหน?

15

เมื่อฉันเรียกใช้dmesgสิ่งนี้จะเกิดขึ้นทุก ๆ วินาที:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

ฉันจะติดตามสิ่งที่ทำให้เกิดข้อความนี้ได้อย่างไร

networking 
peterretief
แหล่งที่มา
1
มันเป็นการบันทึก ufw ที่น่ารำคาญ คุณสามารถปิดได้ นอกจากนี้ยังเป็นไปได้ที่จะกำหนดค่า ufw เพื่อใช้ช่องสัญญาณที่แตกต่างกันดังนั้นมันจะไม่ปนเปื้อน dmesg แต่มันยุ่งยากมาก (อาจต้องใช้ ufw patch เพียงเล็กน้อย)
peterh - Reinstate Monica
FWIW หากคุณไม่คุ้นเคยกับ UFW คุณอาจไม่ควรเชื่อมต่อระบบของคุณกับอินเทอร์เน็ตโดยตรง
MooseBoys

คำตอบ:

56

คำตอบที่มีอยู่ถูกต้องในการวิเคราะห์ทางเทคนิคของรายการบันทึกไฟร์วอลล์ แต่มันหายไปหนึ่งจุดที่ทำให้ข้อสรุปไม่ถูกต้อง แพ็กเก็ต

  • เป็นRSTแพ็กเก็ต (รีเซ็ต)
  • จาก SRC=35.162.106.154
  • ถึงโฮสต์ของคุณที่ DST=104.248.41.4
  • ผ่านทาง TCP
  • จากพอร์ตของเขา SPT=25
  • ไปยังพอร์ตของคุณ DPT=50616
  • และได้รับการBLOCKแก้ไขโดย UFW

พอร์ต 25 (พอร์ตต้นทาง) มักใช้กับอีเมล พอร์ต 50616 อยู่ในช่วงพอร์ตชั่วคราวซึ่งหมายความว่าไม่มีผู้ใช้ที่สอดคล้องกันสำหรับพอร์ตนี้ แพ็คเก็ต TCP "รีเซ็ต" สามารถส่งเพื่อตอบสนองต่อสถานการณ์ที่ไม่คาดคิดเช่นข้อมูลที่มาถึงหลังจากการเชื่อมต่อถูกปิดหรือข้อมูลที่ถูกส่งโดยไม่ต้องทำการเชื่อมต่อก่อน

35.162.106.154ย้อนกลับแก้ไขไปยังcxr.mx.a.cloudfilter.netโดเมนที่ใช้โดยบริการกรองอีเมล CloudMark

คอมพิวเตอร์ของคุณหรือคนที่แกล้งทำเป็นคอมพิวเตอร์ของคุณกำลังส่งข้อมูลไปยังเซิร์ฟเวอร์ของ CloudMark ข้อมูลมาถึงโดยไม่คาดคิดและเซิร์ฟเวอร์กำลังตอบสนองด้วย a RSTเพื่อขอให้คอมพิวเตอร์ที่ส่งหยุด เนื่องจากไฟร์วอลล์กำลังปล่อยผ่านRSTแทนที่จะส่งผ่านไปยังบางแอปพลิเคชันข้อมูลที่ทำให้การRSTส่งไม่ได้มาจากคอมพิวเตอร์ของคุณ แต่คุณอาจเห็น backscatter จากการโจมตีแบบปฏิเสธการให้บริการซึ่งผู้โจมตีกำลังส่งแพ็กเก็ตจำนวนมากที่มีการปลอมแปลงที่อยู่ "จาก" ในความพยายามที่จะทำให้เซิร์ฟเวอร์เมลของ CloudMark ออฟไลน์ (อาจทำให้สแปมมีประสิทธิภาพมากขึ้น)

เครื่องหมาย
แหล่งที่มา
3
+1 สำหรับการวิเคราะห์ที่ยอดเยี่ยม! ฉันมีความคิด ...
PerlDuck
15

ข้อความที่เกิดจากUFW "ไฟร์วอลล์ที่ไม่ซับซ้อน" และจะบอกคุณว่าใครบางคน

  • จาก SRC=35.162.106.154
  • พยายามเชื่อมต่อกับโฮสต์ของคุณที่ DST=104.248.41.4
  • ผ่านทาง TCP
  • จากพอร์ตของพวกเขา SPT=25
  • ไปยังพอร์ตของคุณ DPT=50616
  • และ UFW นั้นประสบความสำเร็จในการBLOCKทดลอง

ตามเว็บไซต์นี้ แหล่งที่อยู่ 35.162.106.154 เป็นเครื่องของ Amazon (อาจเป็น AWS) ตามที่เว็บไซต์นี้ พอร์ต 50616 อาจจะใช้สำหรับXsan เข้าถึงระบบไฟล์

ดังนั้นจึงเป็นความพยายามจาก IP = 35.162.106.154 ในการเข้าถึงไฟล์ของคุณ ค่อนข้างปกติและไม่มีอะไรน่าเป็นห่วงเพราะนั่นคือสิ่งที่ไฟร์วอลล์มีไว้สำหรับ: ปฏิเสธความพยายามดังกล่าว

PerlDuck
แหล่งที่มา
ดูเหมือนว่าความพยายามในการเชื่อมต่อนั้นมาจากบัญชี amazon พอร์ต 25 เป็นพอร์ตเมลที่ฉันควรรายงานหรือไม่สนใจ สแปมบันทึกของฉัน
peterretief
6
@terretief คุณสามารถบล็อกที่เราเตอร์ของคุณ; แล้วคุณจะไม่เห็นมัน แต่ก็ควรรายงานสิ่งนี้ต่อ ISP ของคุณ
Rinzwind
8
จริงๆแล้วมันบอกว่า„ RST“ ไม่ใช่„ SYN” ดังนั้นจึงเป็นแพ็กเก็ตความพยายาม SMTP ที่ถูกปฏิเสธขาออกซึ่งถูกกรองออก
eckes
3
คำตอบอื่น ๆ ดูเหมือนว่าจะถูกต้องสำหรับฉัน
Barmar
5
@Barar แน่นอนและกรุณาใส่มาก สิ่งนั้นควรเป็นคำตอบที่ยอมรับได้
PerlDuck
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.