我有一个带有 iptables 的 Ubuntu 服务器,它只允许 ICMP 的回显请求和回复,并记录和丢弃其他 ICMP 流量。此服务器与另一台 Ubuntu 服务器之间存在始终在线的 SSH 连接,使用两端均具有静态 IP 地址的 autossh。因此这两台服务器之间的流量几乎是可以预测的。今天看到一个很奇怪的ICMP数据包:
IN=eth0 OUT= SRC=203.0.113.1 DST=203.0.113.5 LEN=96 TOS=0x00 PREC=0x00 TTL=250 ID=59072
PROTO=ICMP TYPE=11 CODE=0
[SRC=203.0.113.5 DST=203.0.113.10 LEN=360 TOS=0x08 PREC=0x20 TTL=1 ID=56477 PROTO=TCP SPT=3435 DPT=49728 WINDOW=107 RES=0x00 ACK PSH URGP=0 ]
所有IP都是公共IP。
我的服务器IP:203.0.113.5(3435是我服务器上的ssh端口)
对端服务器IP:203.0.113.10
数据包来自:203.0.113.1
这个数据包想做什么?
答案1
对于 IP 地址,如果它们是私有的,则无需对其进行编辑。如果您确实编辑它们,请使用为文档保留的 IPv4 地址这样我们至少对网络拓扑有一个提示。
根据您提供的信息,回答您的问题这个数据包想做什么?是,根据RFC 792:
ICMP type 11 code 0
描述
如果处理数据报的网关发现生存时间字段为零,则必须丢弃该数据报。网关还可以通过超时消息通知源主机。
如果重组分片数据报的主机由于在其时限内丢失片段而无法完成重组,则它会丢弃该数据报,并且可能会发送超时消息。
如果片段零不可用,则根本不需要发送超过时间的消息。
代码 0 可以从网关接收。代码1可以从主机接收。