Это сообщение заполняет мой системный журнал, как найти, откуда оно?

15

Когда я бегу, dmesgэто появляется каждую секунду или около того:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Как я могу отследить, что вызывает это сообщение?

networking peterretief
источник
1
Это раздражающее ведение журнала UFW. Вы можете выключить его. Также можно настроить ufw на использование другого канала журнала, таким образом, он не будет загрязнять dmesg, но это очень сложно (может потребоваться даже небольшое исправление ufw).
Петер - Восстановить Монику
Если вы не знакомы с UFW, вам, вероятно, не следует подключать вашу систему напрямую к Интернету.
MooseBoys

Ответы:

56

Существующий ответ является правильным в техническом анализе записи журнала брандмауэра, но в нем отсутствует один момент, который делает вывод неверным. Пакет

  • Является RST(сброс) пакет
  • из SRC=35.162.106.154
  • вашему хозяину в DST=104.248.41.4
  • через TCP
  • из его порта SPT=25
  • в ваш порт DPT=50616
  • и был BLOCKиздан UFW.

Порт 25 (исходный порт) обычно используется для электронной почты. Порт 50616 находится в эфемерном диапазоне портов , что означает, что для этого порта нет постоянного пользователя. Пакет «сброса» TCP может быть отправлен в ответ на ряд непредвиденных ситуаций, таких как данные, поступающие после закрытия соединения, или данные, отправляемые без предварительного установления соединения.

35.162.106.154обратное cxr.mx.a.cloudfilter.netразрешение - домен, используемый службой фильтрации электронной почты CloudMark.

Ваш компьютер или кто-то, притворяющийся вашим компьютером, отправляет данные на один из серверов CloudMark. Данные приходят неожиданно, и сервер отвечает с RSTпросьбой остановить отправляющий компьютер. Учитывая, что брандмауэр отбрасывает, RSTа не передает его в какое-либо приложение, данные, которые вызывают RSTотправку, не поступают с вашего компьютера. Вместо этого вы, вероятно, видите обратное рассеяние от атаки типа «отказ в обслуживании», когда злоумышленник отправляет потоки пакетов с поддельными адресами «от» в попытке отключить почтовые серверы CloudMark в автономном режиме (возможно, чтобы сделать рассылку спама более эффективной).

отметка
источник
3
+1 за отличный анализ! Я понятия не имел ...
PerlDuck
15

Сообщения происходят от UFW , «несложного брандмауэра», и он говорит вам, что кто-то

  • из SRC=35.162.106.154
  • пытался подключиться к вашему хосту в DST=104.248.41.4
  • через TCP
  • из их порта SPT=25
  • в ваш порт DPT=50616
  • и что UFW успешно справился с BLOCKэтой попыткой.

Согласно этому сайту, адрес источника 35.162.106.154 - это какой-то компьютер Amazon (вероятно, AWS). Согласно этому сайту порт 50616 может использоваться для доступа к файловой системе Xsan .

Так что это попытка с IP = 35.162.106.154 получить доступ к вашим файлам. Совершенно нормально и не о чем беспокоиться, потому что для этого нужны брандмауэры: отказ от таких попыток.

PerlDuck
источник
Кажется, что попытка подключения произошла от учетной записи Amazon, порт 25 является почтовым портом, я должен сообщить об этом или просто проигнорировать это? Спамить в моих логах
peterretief
6
@peterretief вы можете заблокировать его на своем роутере; тогда ты этого не увидишь. Но было бы разумно сообщить об этом вашему провайдеру.
Rinzwind
8
На самом деле он говорит «RST», а не «SYN», поэтому это запрещенный исходящий пакет попытки SMTP, который был отфильтрован.
Eckes
3
Другой ответ кажется более правильным для меня.
Бармар
5
@ Бармар Действительно, и очень любезно. Это должен быть принятый ответ.
PerlDuck