我的防火墙 ( iptables) 记录了一些奇怪的 ICMP 类型 3 代码 10 流量,我很想了解这些流量(特别是如何或是否可能是某种利用)。
记录的流量(间隔几秒的 4-6 个数据包,过去几个月每天一次):
在=eth0出去=苹果=(eth0 MAC) 斯瑞克=(国外IP地址) 夏令时=(我的IP地址) 伦=72服务条款=0x00普雷克=0x00TTL=50ID=35145原型=ICMP类型=3代码=10 [斯瑞克=(我的IP地址) 夏令时=(国外IP地址) 伦=44服务条款=0x00普雷克=0x00TTL=50ID=0DF 原型=TCPSPT=25DPT=53454窗户=28200RES=0x00确认 同步 URGP=0]
所有日志都表明(国外IP地址)只传输上述ICMP数据包。
没有其他流量来自(国外IP地址)是在同一时间段记录的(请参阅下面的更新)。
默认情况下,系统会记录并丢弃来自该国家/地区的所有流量(国外IP地址)。
这可能是一个漏洞,也许是为了欺骗(我的IP地址)传输一些东西到(国外IP地址),假设我默认没有丢弃流量?
欢迎任何见解。
更新: 日志显示(国外IP地址)始终在 ICMP 数据包之前连接到端口 80 和 443(分别是 ICMP 数据包之前 9 小时和 7 小时)。这两次尝试都被默认防火墙策略丢弃。
根据Network-Tools.com的起源(国外IP地址)是南亚和东亚地区的中国(CN),并且没有与IP 地址关联的主机名。
答案1
ICMP 类型 3 代码 10
这意味着这是另一个防火墙对您的响应。如果我有一个以以下结尾的 iptables 规则:
REJECT --reject-with icmp-net-prohibited
如果您的请求符合本规则,您将收到代码 10类型 3 ICMP 数据包通知您该端口无法访问。这被认为是正确的响应,与 不同DROP,后者不发送响应,因此往往会生成更多的流量到“无法到达”的地址来解开谜团。1
如果是这种情况,您应该找出防火墙拒绝此操作的原因并更正规则,因为这会导致应用程序不必要地挂起。可能您的列表中的某些内容太早,或者没有适当的相关的、已建立的规则。
这是某种 ICMP 策略吗?假设我默认情况下没有丢弃流量,则可以欺骗(我的 IP 地址)向(外国 IP 地址)传输某些内容?
不太可能,因为预计不会有回复。
1.DROP用作默默无闻的安全公共服务器上的机制完全没有意义,因为合法攻击者必须做的就是端口扫描;其中之一必须响应某些内容,否则它就不是公共服务器。此外,它还会为非敌方系统(即大多数系统)带来不必要的额外流量和问题。如果您想拒绝访问,只需说您正在拒绝访问即可。您应该只DROP对您知道但希望忽略的流量使用,例如来自本地系统的广播数据包。