Когда я запускаю dmesg
, это происходит каждую секунду или около того:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
Как я могу отследить, что вызывает это сообщение?
Существующий ответ корректен в своем техническом анализе записи в журнале брандмауэра, но это упускает одну суть, которая делает заключение неправильным. Пакет
RST
(сброс) пакетSRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
редактор UFW.Порт 25 (исходный порт) является наиболее часто используемым для электронной почты. Порт 50616 находится в эфемерном диапазоне портов, означая, что нет никакого последовательного пользователя для этого порта. Пакет "сброса" TCP может быть отправлен в ответ на многие неожиданные ситуации, такие как данные, прибывающие после того, как соединение было закрыто, или данные, отправляемые без первого установления соединения.
35.162.106.154
обратная твердость к cxr.mx.a.cloudfilter.net
, домен используется почтовым сервисом фильтрации CloudMark.
Ваш компьютер или кто-то симулирующий быть Вашим компьютером, отправляет данные на один из серверов CloudMark. Данные прибывают неожиданно, и сервер отвечает a RST
попросить, чтобы передающий компьютер остановился. Учитывая, что брандмауэр отбрасывает RST
вместо того, чтобы передавать его до некоторого приложения, данные, это вызывает RST
быть отправленным не прибывает из Вашего компьютера. Вместо этого Вы, вероятно, видите обратное рассеяние от атаки "отказ в обслуживании", где взломщик отсылает лавинные рассылки пакетов с подделанным "от" адресов в попытке отсоединить почтовые серверы CloudMark (возможно, для создания спама более эффективным).
Сообщения происходят от UFW, "несложный брандмауэр", и он говорит Вам что кто-то
SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
редактор та попытка.Согласно этому сайту исходный адрес 35.162.106.154 является некоторой машиной Amazon (вероятно, AWS). Согласно этому сайту порт 50616 может использоваться для Доступа к файловой системе Xsan.
Таким образом, это - попытка от IP=35.162.106.154 для доступа к файлам. Довольно нормальный и ничто, чтобы быть действительно взволнованным по поводу того, потому что это - то, для чего брандмауэры: отклонение таких попыток.