Pesan ini membanjiri syslog saya, bagaimana menemukan dari mana asalnya?

15

Ketika saya menjalankan dmesgini muncul setiap detik:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

Bagaimana saya bisa melacak apa yang menyebabkan pesan ini?

networking bantuan
sumber
1
Ini adalah ufw logging yang mengganggu. Anda bisa mematikannya. Dimungkinkan juga untuk mengkonfigurasi ufw untuk menggunakan saluran log yang berbeda, sehingga tidak akan mencemari dmesg, tetapi sangat rumit (bahkan mungkin memerlukan sedikit patch ufw).
peterh
FWIW jika Anda tidak terbiasa dengan UFW, Anda mungkin tidak perlu menghubungkan sistem Anda langsung ke internet.
MooseBoys

Jawaban:

56

Jawaban yang ada benar dalam analisis teknis dari entri log firewall, tetapi tidak ada satu titik yang membuat kesimpulan salah. Paket

  • Adalah paket RST(reset)
  • dari SRC=35.162.106.154
  • ke host Anda di DST=104.248.41.4
  • melalui TCP
  • dari portalnya SPT=25
  • ke port Anda DPT=50616
  • dan telah BLOCKdiedit oleh UFW.

Port 25 (port sumber) biasanya digunakan untuk email. Port 50616 berada dalam kisaran porta fana , yang berarti tidak ada pengguna yang konsisten untuk port ini. Paket "reset" TCP dapat dikirim sebagai respons terhadap sejumlah situasi yang tidak terduga, seperti data yang tiba setelah koneksi ditutup, atau data dikirim tanpa terlebih dahulu membuat koneksi.

35.162.106.154membalikkan-menyelesaikan ke cxr.mx.a.cloudfilter.net, domain yang digunakan oleh layanan pemfilteran email CloudMark.

Komputer Anda, atau seseorang yang berpura-pura menjadi komputer Anda, mengirim data ke salah satu server CloudMark. Data tiba tiba-tiba, dan server merespons dengan RSTmeminta komputer pengirim untuk berhenti. Mengingat bahwa firewall menjatuhkan RSTdaripada meneruskannya ke beberapa aplikasi, data yang menyebabkan RSTdikirim tidak berasal dari komputer Anda. Sebaliknya, Anda mungkin melihat hamburan balik dari serangan penolakan layanan, di mana penyerang mengirimkan banjir paket dengan alamat "dari" palsu dalam upaya untuk mengetuk server mail CloudMark offline (mungkin untuk membuat spam lebih efektif).

Menandai
sumber
3
+1 untuk analisis hebat! Saya tidak tahu ...
PerlDuck
15

Pesan-pesannya berasal dari UFW , "firewall yang tidak rumit" dan memberitahu Anda seseorang itu

  • dari SRC=35.162.106.154
  • mencoba menyambung ke host Anda di DST=104.248.41.4
  • melalui TCP
  • dari pelabuhan mereka SPT=25
  • ke port Anda DPT=50616
  • dan bahwa UFW telah berhasil BLOCKmemperbaiki upaya itu.

Menurut situs ini alamat sumber 35.162.106.154 adalah beberapa mesin Amazon (mungkin AWS). Menurut situs ini port 50616 dapat digunakan untuk Akses Sistem File Xsan .

Jadi ini merupakan upaya dari IP = 35.162.106.154 untuk mengakses file Anda. Cukup normal dan tidak ada yang perlu dikhawatirkan karena itulah gunanya firewall: menolak upaya semacam itu.

PerlDuck
sumber
Tampaknya koneksi yang dicoba adalah dari akun amazon, port 25 adalah port mail yang harus saya laporkan atau abaikan saja? Spamming my logs
peterretief
6
@peterretief Anda dapat memblokirnya di router Anda; maka Anda tidak akan melihatnya. Tetapi mungkin bijaksana untuk melaporkan ini ke ISP Anda.
Rinzwind
8
Sebenarnya dikatakan "RST" bukan "SYN" jadi itu adalah paket upaya SMTP yang ditolak yang difilter.
eckes
3
Jawaban lain sepertinya lebih tepat bagi saya.
Barmar
5
@Barmar Memang, dan sangat ramah. Yang itu harus menjadi jawaban yang diterima.
PerlDuck