Quando eu corro, dmesg
isso aparece a cada segundo ou mais:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
Como rastrear o que está causando esta mensagem?
networking
peterretief
fonte
fonte
Respostas:
A resposta existente está correta em sua análise técnica da entrada de log do firewall, mas falta um ponto que torna a conclusão incorreta. O pacote
RST
pacote (redefinido)SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
editado pela UFW.A porta 25 (a porta de origem) é comumente usada para email. A porta 50616 está no intervalo efetivo de portas , o que significa que não há usuário consistente para esta porta. Um pacote TCP "redefinido" pode ser enviado em resposta a várias situações inesperadas, como dados que chegam após o fechamento de uma conexão ou dados enviados sem antes estabelecer uma conexão.
35.162.106.154
cxr.mx.a.cloudfilter.net
a resolução reversa para , um domínio usado pelo serviço de filtragem de email do CloudMark.Seu computador, ou alguém que finge ser seu, está enviando dados para um dos servidores do CloudMark. Os dados estão chegando inesperadamente e o servidor está respondendo com a
RST
para solicitar que o computador remetente pare. Dado que o firewall está descartando, emRST
vez de transferi-lo para algum aplicativo, os dados que estão causando oRST
envio não vêm do seu computador. Em vez disso, você provavelmente verá o retrocesso de um ataque de negação de serviço, em que o invasor está enviando pacotes de endereços forjados "de" na tentativa de deixar os servidores de correio do CloudMark offline (talvez para tornar o spam mais eficaz).fonte
As mensagens provêm do UFW , o "firewall não complicado" e informa que alguém
SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
essa tentativa.De acordo com este site, o endereço de origem 35.162.106.154 é uma máquina da Amazon (provavelmente uma AWS). De acordo com este site, a porta 50616 pode ser usada para o Xsan Filesystem Access .
Portanto, é uma tentativa do IP = 35.162.106.154 de acessar seus arquivos. Muito normal e nada para se preocupar, porque é para isso que servem os firewalls: rejeitar essas tentativas.
fonte