Tin nhắn này đang tràn ngập syslog của tôi, làm thế nào để tìm nó đến từ đâu?

15

Khi tôi chạy, dmesgđiều này xuất hiện mỗi giây hoặc lâu hơn:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Làm thế nào tôi có thể theo dõi những gì gây ra tin nhắn này?

networking 
thú cưng
nguồn
1
Đó là đăng nhập ufw gây phiền nhiễu. Bạn có thể tắt nó. Cũng có thể định cấu hình ufw để sử dụng một kênh nhật ký khác, do đó nó sẽ không làm nhiễm bẩn dmesg, nhưng nó rất phức tạp (có thể yêu cầu một bản vá ufw nhỏ).
peterh - Phục hồi Monica
FWIW nếu bạn không quen thuộc với UFW, có lẽ bạn không nên kết nối trực tiếp với internet.
MooseBoys

Câu trả lời:

56

Câu trả lời hiện tại là chính xác trong phân tích kỹ thuật của mục nhập tường lửa, nhưng nó thiếu một điểm khiến kết luận không chính xác. Cái túi

  • Là một RSTgói (thiết lập lại)
  • từ SRC=35.162.106.154
  • đến máy chủ của bạn tại DST=104.248.41.4
  • thông qua TCP
  • từ cảng của anh ấy SPT=25
  • đến cảng của bạn DPT=50616
  • và đã được chỉnh sửa BLOCKbởi UFW.

Cổng 25 (cổng nguồn) thường được sử dụng cho email. Cổng 50616 nằm trong phạm vi cổng phù du , nghĩa là không có người dùng nhất quán cho cổng này. Gói "đặt lại" TCP có thể được gửi để đáp ứng với một số tình huống không mong muốn, chẳng hạn như dữ liệu đến sau khi kết nối bị đóng hoặc dữ liệu được gửi mà không cần thiết lập kết nối trước.

35.162.106.154giải quyết ngược lại cxr.mx.a.cloudfilter.net, một miền được sử dụng bởi dịch vụ lọc email CloudMark.

Máy tính của bạn hoặc ai đó giả danh là máy tính của bạn đang gửi dữ liệu đến một trong các máy chủ của CloudMark. Dữ liệu đến bất ngờ và máy chủ đang phản hồi với RSTyêu cầu dừng máy tính gửi. Cho rằng tường lửa đang rơi RSTthay vì chuyển qua một số ứng dụng, dữ liệu gây ra việc RSTgửi sẽ không đến từ máy tính của bạn. Thay vào đó, bạn có thể thấy tán xạ ngược từ một cuộc tấn công từ chối dịch vụ, nơi kẻ tấn công đang gửi đi lũ lụt các gói có địa chỉ "giả mạo" trong nỗ lực đánh sập các máy chủ thư của CloudMark ngoại tuyến (có lẽ để spam hiệu quả hơn).

dấu
nguồn
3
+1 cho phân tích tuyệt vời! Tôi không biết ...
PerlDuck
15

Các thông báo bắt nguồn từ UFW , "tường lửa không phức tạp" và nó cho bạn biết rằng ai đó

  • từ SRC=35.162.106.154
  • đã cố gắng kết nối với máy chủ của bạn tại DST=104.248.41.4
  • thông qua TCP
  • từ cảng của họ SPT=25
  • đến cảng của bạn DPT=50616
  • và UFW đã thành công BLOCKtrong nỗ lực đó.

Theo trang web này , địa chỉ nguồn 35.162.106.154 là một số máy của Amazon (có thể là AWS). Theo trang web này , cổng 50616 có thể được sử dụng cho Xsan Filesystem Access .

Vì vậy, đó là một nỗ lực từ IP = 35.162.106.154 để truy cập các tệp của bạn. Khá bình thường và không có gì phải thực sự lo lắng vì đó là những gì tường lửa dành cho: từ chối những nỗ lực như vậy.

PerlDuck
nguồn
Có vẻ như kết nối đã thử là từ một tài khoản amazon, cổng 25 là cổng thư tôi nên báo cáo điều này hay chỉ cần bỏ qua nó? Gửi thư rác của tôi
peterretief
6
@peterretief bạn có thể chặn nó tại bộ định tuyến của bạn; sau đó bạn sẽ không nhìn thấy nó. Nhưng nó có thể là khôn ngoan để báo cáo điều này với ISP của bạn.
Rinzwind
8
Trên thực tế, nó nói „RST, không phải„ SYN vì vậy nó là một gói thử gửi đi bị từ chối đã được lọc ra.
eckes
3
Câu trả lời khác có vẻ đúng hơn với tôi.
Barmar
5
@Barmar Thật vậy, và rất vui lòng đặt. Đó là một câu trả lời được chấp nhận.
PerlDuck
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.