Ta wiadomość zalewa mój syslog, jak znaleźć skąd pochodzi?

15

Kiedy uruchamiam, dmesgpojawia się to co sekundę:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Jak mogę prześledzić, co powoduje tę wiadomość?

networking peterretief
źródło
1
To denerwujące logowanie ufw. Możesz to wyłączyć. Możliwe jest również skonfigurowanie ufw, aby używał innego kanału dziennika, więc nie zanieczyści dmesg, ale jest bardzo trudny (może wymagać nawet małej poprawki ufw).
peterh - Przywróć Monikę
FWIW, jeśli nie znasz się na UFW, prawdopodobnie nie powinieneś mieć swojego systemu podłączonego bezpośrednio do Internetu.
MooseBoys

Odpowiedzi:

56

Istniejąca odpowiedź jest poprawna w analizie technicznej pozycji dziennika zapory, ale brakuje w niej jednego punktu, który powoduje, że wniosek jest błędny. Pakiet

  • Jest RSTpakietem (resetowanym)
  • od SRC=35.162.106.154
  • do twojego hosta na DST=104.248.41.4
  • przez TCP
  • z jego portu SPT=25
  • do twojego portu DPT=50616
  • i został BLOCKedytowany przez UFW.

Port 25 (port źródłowy) jest powszechnie używany do wysyłania wiadomości e-mail. Port 50616 znajduje się w efemerycznym zakresie portów , co oznacza, że ​​nie ma spójnego użytkownika dla tego portu. Pakiet „resetujący” TCP może zostać wysłany w odpowiedzi na wiele nieoczekiwanych sytuacji, takich jak dane przychodzące po zamknięciu połączenia lub dane wysyłane bez uprzedniego nawiązania połączenia.

35.162.106.154odwraca rozdzielczość do cxr.mx.a.cloudfilter.netdomeny używanej przez usługę filtrowania wiadomości e-mail CloudMark.

Twój komputer lub ktoś udający, że jest twoim komputerem, wysyła dane na jeden z serwerów CloudMark. Dane przychodzą nieoczekiwanie, a serwer odpowiada RSTpytaniem, aby komputer wysyłający zatrzymał się. Biorąc pod uwagę, że zapora upuszcza RSTzamiast przekazywać je do niektórych aplikacji, dane, które powodują RSTwysyłanie, nie pochodzą z twojego komputera. Zamiast tego prawdopodobnie widzisz rozproszenie wsteczne po ataku typu „odmowa usługi”, w którym atakujący wysyła zalew pakietów z podrobionymi adresami „z” w celu wyłączenia serwerów poczty CloudMark w trybie offline (być może w celu zwiększenia skuteczności spamowania).

znak
źródło
3
+1 za świetną analizę! Nie miałem pojęcia ...
PerlDuck
15

Wiadomości pochodzą z UFW , „nieskomplikowanej zapory ogniowej” i mówią ci, że ktoś

  • od SRC=35.162.106.154
  • próbował połączyć się z twoim hostem pod adresem DST=104.248.41.4
  • przez TCP
  • z ich portu SPT=25
  • do twojego portu DPT=50616
  • i że UFW pomyślnie BLOCKedytuje tę próbę.

Według tej strony adresem źródłowym 35.162.106.154 jest jakaś maszyna Amazon (prawdopodobnie AWS). Według tej strony port 50616 może być używany do dostępu do systemu plików Xsan .

Jest to więc próba uzyskania dostępu do plików z adresu IP = 35.162.106.154. Zupełnie normalne i nie ma się czym martwić, ponieważ po to są zapory ogniowe: odrzucanie takich prób.

PerlDuck
źródło
Wygląda na to, że próbowano nawiązać połączenie z konta Amazon, port 25 to port pocztowy, czy powinienem to zgłosić, czy po prostu zignorować? Spamowanie moich dzienników
peterretief
6
@ petterretief możesz zablokować go na routerze; wtedy tego nie zobaczysz. Ale może to być rozsądne, aby zgłosić to swojemu dostawcy usług internetowych.
Rinzwind
8
Właściwie to mówi „RST”, a nie „SYN”, więc jest to odrzucony pakiet próby wysłania SMTP, który został odfiltrowany.
eckes
3
Druga odpowiedź wydaje mi się bardziej prawidłowa.
Barmar
5
@Barmar Rzeczywiście i bardzo uprzejmie. To powinna być zaakceptowana odpowiedź.
PerlDuck