내가 이것을 실행할 때 dmesg마다 매 초마다 나타납니다.
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
이 메시지의 원인을 어떻게 추적 할 수 있습니까?
답변
기존 답변은 방화벽 로그 항목의 기술적 분석에서 정확하지만 결론을 잘못 만드는 한 가지 점이 없습니다. 패킷
- A는
RST(리셋) 패킷 - …에서
SRC=35.162.106.154 - 호스트에게
DST=104.248.41.4 - 통하다
TCP - 그의 항구에서
SPT=25 - 당신의 항구에
DPT=50616 - 및 한
BLOCKUFW하여 에드.
포트 25 (소스 포트)는 일반적으로 이메일에 사용됩니다. 포트 50616은 임시 포트 범위에 있으므로이 포트에 일관된 사용자가 없습니다. TCP “재설정”패킷은 연결이 닫힌 후 도착한 데이터 또는 먼저 연결을 설정하지 않고 전송되는 데이터와 같은 예기치 않은 여러 상황에 대한 응답으로 전송 될 수 있습니다.
35.162.106.154cxr.mx.a.cloudfilter.netCloudMark 이메일 필터링 서비스에서 사용하는 도메인으로 를 반대로 해석합니다 .
귀하의 컴퓨터 또는 귀하의 컴퓨터 인 척하는 누군가가 CloudMark 서버 중 하나로 데이터를 전송하고 있습니다. 데이터가 예기치 않게 도착하고 서버가 a RST로 응답 하여 보내는 컴퓨터의 중지를 요청합니다. 방화벽이 방화벽 RST을 일부 응용 프로그램으로 전달하지 않고 떨어 뜨리고 있다고 가정하면 RST컴퓨터를 통해 전송 되는 데이터가 전송되지 않습니다. 대신, 서비스 거부 공격으로 인해 백스 캐터가 발생할 수 있습니다. 여기서 공격자는 CloudMark의 메일 서버를 오프라인 상태로 만들려는 스팸 메일을보다 효과적으로 만들기 위해 “보낸 사람”주소로 위조 된 패킷을 대량으로 전송합니다.
답변
이 메시지 는 ” 복잡한 방화벽”인 UFW 에서 나 왔으며 누군가에게
- …에서
SRC=35.162.106.154 - 에서 호스트에 연결을 시도했습니다
DST=104.248.41.4 - 통하다
TCP - 그들의 항구에서
SPT=25 - 당신의 항구에
DPT=50616 - 그리고 UFW는
BLOCK그 시도를 성공적으로 마쳤습니다 .
이 사이트 에 따르면
소스 주소 35.162.106.154는 일부 Amazon 머신 (아마도 AWS)입니다. 이 사이트 에 따르면
포트 50616은 Xsan 파일 시스템 액세스에 사용될 수 있습니다 .
따라서 IP = 35.162.106.154에서 파일에 액세스하려는 시도입니다. 방화벽이 그 목적이기 때문에 매우 정상적이고 실제로 걱정할 것은 없습니다 : 그러한 시도를 거부하십시오.