Це повідомлення заполонює мій системний журнал, як знайти, звідки воно походить?

15

Коли я запускаю, dmesgце з’являється щосекунди або приблизно так:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Як я можу простежити, що викликає це повідомлення?

networking 
петерретиф
джерело
1
Це дратівливий журнал ufw. Ви можете вимкнути його. Також можливо налаштувати ufw на використання іншого каналу журналу, таким чином він не забруднить dmesg, але це дуже складно (може знадобитися навіть невеликий патч ufw).
peterh
FWIW, якщо ви не знайомі з UFW, вам, ймовірно, не слід мати систему підключення безпосередньо до Інтернету.
MooseBoys

Відповіді:

56

Існуюча відповідь є правильним у технічному аналізі запису журналу брандмауера, але він пропускає один момент, який робить висновок невірним. Пакет

  • Є RSTпакетом (скидання)
  • з SRC=35.162.106.154
  • до вашого господаря в DST=104.248.41.4
  • через TCP
  • з його порту SPT=25
  • до вашого порту DPT=50616
  • і BLOCKпід редакцією UFW.

Порт 25 (вихідний порт) зазвичай використовується для електронної пошти. Порт 50616 знаходиться в діапазоні ефемерних портів , тобто немає постійного користувача для цього порту. Пакет "скидання" TCP може бути надісланий у відповідь на ряд несподіваних ситуацій, таких як дані, що надходять після закриття з'єднання, або дані, що надсилаються без попереднього встановлення з'єднання.

35.162.106.154зворотно вирішує cxr.mx.a.cloudfilter.netдомен, який використовується службою фільтрації електронної пошти CloudMark.

Ваш комп'ютер або хтось, який претендує на ваш комп'ютер, надсилає дані на один із серверів CloudMark. Дані надходять несподівано, і сервер відповідає RSTна запит комп'ютера, що відправляє, зупинити. Зважаючи на те, що брандмауер RSTпропускає, а не передає його до якоїсь програми, дані, що викликають RSTнадсилання, не надходять з вашого комп'ютера. Натомість ви, мабуть, бачите зворотний розбіг від нападу на відмову в обслуговуванні, коли зловмисник розсилає потоки пакетів з підробленими адресами "з", намагаючись вибити офлайн-поштові сервери CloudMark (можливо, щоб зробити спам більш ефективним).

Позначити
джерело
3
+1 за чудовий аналіз! Я не мав уявлення ...
PerlDuck,
15

Повідомлення походять від UFW , "непростого брандмауера", і це говорить вам, що хтось

  • з SRC=35.162.106.154
  • намагався підключитися до свого хоста в DST=104.248.41.4
  • через TCP
  • зі свого порту SPT=25
  • до вашого порту DPT=50616
  • і що UFW успішно BLOCKвідреагував на цю спробу.

Відповідно до цього сайту, адреса джерела 35.162.106.154 є деякою машиною Amazon (можливо, AWS). Відповідно до цього сайту, порт 50616 може використовуватися для доступу до Xsan Filesystem .

Отже, це спроба отримати доступ до своїх файлів від IP = 35.162.106.154. Цілком нормально, і нічого насправді не турбувати, тому що саме для цього є брандмауер: відмова від таких спроб.

PerlDuck
джерело
Здається, спробу підключення здійснюється з облікового запису Amazon, порт 25 - поштовий порт, чи повинен я повідомити про це чи просто проігнорувати його? Спам мої журнали
peterretief
6
@peterretief ви можете заблокувати його на маршрутизаторі; тоді ви його не побачите. Але це може бути доцільно повідомити про це своєму провайдеру.
Rinzwind
8
Насправді він говорить: "RST" не "SYN", тому це відхилений вихідний пакет спроб SMTP, який був відфільтрований.
eckes
3
Інша відповідь здається мені вірнішою.
Бармар
5
@Barmar Дійсно, і дуже люб'язно. Такою має бути прийнята відповідь.
PerlDuck
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.