私が実行すると、dmesg
これは毎秒かそこらに現れます:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
このメッセージの原因を追跡するにはどうすればよいですか?
ファイアウォールログエントリのテクニカル分析では、既存の回答は正しいですが、結論を不正確にする1つのポイントが欠落しています。パケット
RST
(リセット)パケットSRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
UFWによって編集されました。ポート25(送信元ポート)は通常、電子メールに使用されます。ポート50616はエフェメラルポートの範囲内にあります。つまり、このポートに一貫したユーザーがいないことを意味します。TCP「リセット」パケットは、接続が閉じられた後にデータが到着したり、最初に接続を確立せずにデータが送信されたりするなど、さまざまな予期しない状況に対応して送信できます。
35.162.106.154
cxr.mx.a.cloudfilter.net
CloudMark電子メールフィルタリングサービスによって使用されるドメインに逆解決します。
あなたのコンピューター、またはあなたのコンピューターになりすました誰かが、CloudMarkのサーバーの1つにデータを送信しています。データが予期せず到着し、サーバーはRST
送信側コンピューターに停止を要求するように応答しています。ファイアウォールがRST
アプリケーションに渡されるのではなくドロップしていることを考えると、ファイアウォールがRST
送信される原因となっているデータは、コンピューターからのものではありません。代わりに、攻撃者がCloudMarkのメールサーバーをオフラインにノックしようとして(おそらくスパムをより効果的にするために)偽造された「差出人」アドレスを持つパケットのフラッドを送信しているサービス拒否攻撃からの後方散乱が見られる可能性があります。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加