Я под атакой?
Когда я проверил свою программу просмотра журналов, я заметил, что ufw блокирует многие ips, с которыми я не знаком! В то время, когда я проверял свой просмотрщик журналов, у меня было только три компьютера. Я работал только на одном компьютере, остальные два были закрыты, также у меня установлен qBittorrent, но даже когда он закрыт, блокировка этого странного ips продолжается и дальше! поэтому мне нужна помощь, чтобы понять это, не могли бы вы помочь мне!
это образец журнала, обратите внимание на SRC = ... и как ips меняются каждый раз!
Feb 6 10:36:47 kernel: [ 4483.535580] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.35.96 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=63946 PROTO=TCP SPT=443 DPT=49390 WINDOW=0 RES=0x00 RST URGP=0
Feb 6 10:36:47 kernel: [ 4483.550561] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.35.96 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=63947 PROTO=TCP SPT=443 DPT=49390 WINDOW=0 RES=0x00 RST URGP=0
Feb 6 10:36:49 kernel: [ 4485.451947] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.70.84 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=26086 PROTO=TCP SPT=443 DPT=45573 WINDOW=0 RES=0x00 RST URGP=0
Feb 6 10:37:07 kernel: [ 4503.589763] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=86.90.23.194 DST=192.168.1.2 LEN=131 TOS=0x00 PREC=0x00 TTL=54 ID=46228 PROTO=UDP SPT=63799 DPT=6881 LEN=111
Feb 6 10:37:09 kernel: [ 4505.436512] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:9d38:90d7:30aa:09f8:a6de:fe07 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=72 TC=0 HOPLIMIT=128 FLOWLBL=0 PROTO=TCP SPT=38331 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0
Feb 6 10:37:28 kernel: [ 4525.061666] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=71.173.19.14 DST=192.168.1.2 LEN=134 TOS=0x00 PREC=0x00 TTL=116 ID=16433 PROTO=UDP SPT=37115 DPT=6881 LEN=114
Feb 6 10:37:34 kernel: [ 4530.489483] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=173.194.35.126 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=46264 PROTO=TCP SPT=443 DPT=48085 WINDOW=0 RES=0x00 RST URGP=0
Feb 6 10:37:46 kernel: [ 4542.565319] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=111.206.125.219 DST=192.168.1.2 LEN=120 TOS=0x00 PREC=0x00 TTL=39 ID=0 DF PROTO=UDP SPT=34207 DPT=6881 LEN=100
Feb 6 10:37:52 kernel: [ 4548.637274] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=78 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=UDP SPT=28768 DPT=6881 LEN=38
Feb 6 10:37:55 kernel: [ 4551.519196] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=78 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=UDP SPT=28768 DPT=6881 LEN=38
Feb 6 10:38:01 kernel: [ 4557.832730] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=78 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=UDP SPT=28768 DPT=6881 LEN=38
Feb 6 10:38:08 kernel: [ 4564.966546] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=92.46.77.51 DST=192.168.1.2 LEN=134 TOS=0x00 PREC=0x00 TTL=111 ID=14597 PROTO=UDP SPT=17851 DPT=6881 LEN=114
Feb 6 10:38:26 kernel: [ 4582.324206] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:05c0:1400:000a:0000:0000:0000:0c39 DST=2001:0000:53aa:064c:3449:d78a:a642:b06c LEN=68 TC=0 HOPLIMIT=123 FLOWLBL=0 PROTO=TCP SPT=59992 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0
Feb 6 10:38:28 kernel: [ 4584.203917] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=111.250.83.156 DST=192.168.1.2 LEN=134 TOS=0x00 PREC=0x00 TTL=48 ID=41676 PROTO=UDP SPT=56696 DPT=6881 LEN=114
Feb 6 10:38:46 kernel: [ 4602.737591] [UFW BLOCK] IN=eth0 OUT= MAC=00:23:ae:a8:a1:32:b0:48:7a:a3:3f:a5:08:00 SRC=81.155.77.146 DST=192.168.1.2 LEN=131 TOS=0x18 PREC=0x60 TTL=112 ID=12922 PROTO=UDP SPT=33574 DPT=6881 LEN=111
2 ответа
Те, которые показывают, что они поступают из порта 443 (HTTPS), вероятно, являются «перенесенными» пакетами из предыдущего соединения. Брандмауэр должен пропускать пакеты, связанные с существующим соединением, но если по какой-то причине ваш компьютер считал соединение был закрыт / истек тайм-аут до удаленного (который, по-видимому, сервер Google), вы все равно можете увидеть случайные пакеты.
Редактировать: И пакеты порта 6881, вероятно, остаются поверх пакетов от вашего торрента. Когда торрент-клиенты возобновляют работу, я полагаю, что они пытаются восстановить связь с пирами, к которым они были ранее подключены, что объяснил бы эти пакеты. Почти наверняка не о чем беспокоиться.
whois 173.194.35.96
выглядит как гугл. Хотя не проверял остальных.