Это сообщение наводняет мой системный журнал, как найти, откуда оно взято?

Когда я запускаю dmesg, это происходит каждую секунду или около того:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Как я могу отследить, что вызывает это сообщение?

15
задан 26 July 2019 в 05:56

2 ответа

Существующий ответ корректен в своем техническом анализе записи в журнале брандмауэра, но это упускает одну суть, которая делает заключение неправильным. Пакет

  • A RST (сброс) пакет
  • от SRC=35.162.106.154
  • к Вашему хосту в DST=104.248.41.4
  • через TCP
  • от его порта SPT=25
  • к Вашему порту DPT=50616
  • и был BLOCKредактор UFW.

Порт 25 (исходный порт) является наиболее часто используемым для электронной почты. Порт 50616 находится в эфемерном диапазоне портов, означая, что нет никакого последовательного пользователя для этого порта. Пакет "сброса" TCP может быть отправлен в ответ на многие неожиданные ситуации, такие как данные, прибывающие после того, как соединение было закрыто, или данные, отправляемые без первого установления соединения.

35.162.106.154 обратная твердость к cxr.mx.a.cloudfilter.net, домен используется почтовым сервисом фильтрации CloudMark.

Ваш компьютер или кто-то симулирующий быть Вашим компьютером, отправляет данные на один из серверов CloudMark. Данные прибывают неожиданно, и сервер отвечает a RST попросить, чтобы передающий компьютер остановился. Учитывая, что брандмауэр отбрасывает RST вместо того, чтобы передавать его до некоторого приложения, данные, это вызывает RST быть отправленным не прибывает из Вашего компьютера. Вместо этого Вы, вероятно, видите обратное рассеяние от атаки "отказ в обслуживании", где взломщик отсылает лавинные рассылки пакетов с подделанным "от" адресов в попытке отсоединить почтовые серверы CloudMark (возможно, для создания спама более эффективным).

56
ответ дан 23 November 2019 в 02:38

Сообщения происходят от UFW, "несложный брандмауэр", и он говорит Вам что кто-то

  • от SRC=35.162.106.154
  • попробованный для соединения с хостом в DST=104.248.41.4
  • через TCP
  • от их порта SPT=25
  • к Вашему порту DPT=50616
  • и это UFW имеет успешно BLOCKредактор та попытка.

Согласно этому сайту исходный адрес 35.162.106.154 является некоторой машиной Amazon (вероятно, AWS). Согласно этому сайту порт 50616 может использоваться для Доступа к файловой системе Xsan.

Таким образом, это - попытка от IP=35.162.106.154 для доступа к файлам. Довольно нормальный и ничто, чтобы быть действительно взволнованным по поводу того, потому что это - то, для чего брандмауэры: отклонение таких попыток.

15
ответ дан 23 November 2019 в 02:38

Другие вопросы по тегам:

Похожие вопросы: