今天我看了下面的 iptables 丢弃数据包日志,但我不太理解这个日志。我希望有人能帮助我。
我只打开了入站 SSH 端口 2221,对于传出流量,我打开了 DNS 端口 53 作为协议 UDP。
iptables-dropped: IN= OUT=eno1 SRC=myserver.ip DST=179.124.36.195 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=42743 PROTO=ICMP TYPE=3 CODE=3 [SRC=179.124.36.195 DST=myserver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=58511 DF PROTO=TCP SPT=57351 DPT=2221 WINDOW=29200 RES=0x00 SYN URGP=0 ]
看完日志后,我问自己,“他(攻击者)怎么会尝试发送 ICMP 请求,这是否意味着我的服务器已被攻陷?
然后我读了括号,我们看到了尝试登录 SSH 端口。
一次丢弃但有 2 个不同的日志消息?
答案1
看起来,当 179.124.36.195 尝试连接时,您的 ssh 服务器已关闭(3=ICMP_DEST_UNREACH),或者您的 iptables REJECT 规则阻止了访问,从而导致由您的系统(而不是“攻击者”系统)生成的 ICMP 响应因 iptables 规则而被丢弃。
有一条日志消息。如果您需要有关日志格式的详细信息,请在 Linux 源代码中检查net/ipv4/netfilter/nf_log_ipv4.c。对于 5.4.8-gentoo,ICMP 日志格式从这里开始:
111 case IPPROTO_ICMP: {
有关导致 ICMP_DEST_UNREACH 的原因的有用详细信息已添加到从此处开始的日志消息中:
177 case ICMP_DEST_UNREACH: