我正在解析ufw日志,并且遇到了我能够找到ip6tables的ufw.
这篇非常好的博客文章很好地描述了 iptables 格式,但有一些我没有找到的字段,即 AFAIU 是 IPv6 特定的。
这是一个示例条目:
May 13 11:35:12 servername kernel: [ 4113.240744] [UFW BLOCK] IN=eth0 OUT= MAC=nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn SRC=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn DST=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn LEN=178 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=UDP SPT=5678 DPT=5678 LEN=138
HOPLIMIT就像TTL,对吗?怎么样TC,,FLOWLBL这些是什么?如果它们适合某些标志或选项字段,请告诉我,这会影响我的解析方式。更好的是指向像上面这样的精彩完整的博客条目的指针......
还有一个问题,为什么有2个LEN字段?
答案1
您共享的链接适用于 IPv4,您正在使用 IPv6。所以你需要谷歌,IPV6文档。
简而言之:
HOPLIMIT - 跳数限制 - 生存时间
TC - 流量类别的功能模拟 - 定义数据包中的信息类型(不同类型的控制和数据)。
FLOWLBL - 流标签 - 定义路由器的数据包优先级。
我不确定为什么日志包含两个 LEN 字段,但很可能是:标头长度和数据长度。
IPv4 中数据包的标头是固定格式,而在 IPv6 中它可以部分修改为可变长度 - 因此有一个特殊的标头长度字段。
这是一个带有解释的半不错的字段列表。 https://www.geeksforgeeks.org/internet-protocol-version-6-ipv6-header/
最好是一本完整的教科书。我喜欢:https://www.oreilly.com/library/view/ipv6-essentials/0596001258/