目前我在系统日志中有这个不间断的输出:
[ 89.115236] FW REJECT (input): IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:23:5e:6f:ab:d9:08:00 SRC=10.158.0.1 DST=255.255.255.255 LEN=389 TOS=0x00 PREC=0x00 TTL=255 ID=51601 PROTO=UDP SPT=67 DPT=68 LEN=369
这是正常的吗?还是有某人在阿拉巴马州的 ASA 背后试图嗅探我的 eth0?
当我激活它时ipkungfu --panic
,它会在一段时间后消失,但是当关闭 ipkungfu --panic 时,它又会回来......???
那是谁?我怎样才能了解更多?
答案1
从该系统日志行中我可以告诉您主机 10.158.0.1(SRC=10.158.0.1)正在从端口 67(SPT=67)向端口(DPT=68)广播(DST=255.255.255.255)UDP 数据包(PROTO=UDP)。
端口 67/UDP 和 68/UDP 分别由 DHCP 服务器客户端使用。
如果 ASA 防火墙是 DHCP 服务器,则这是预期行为。记录的数据包可以是 DHCP Offer 或 DHCP 确认。
参考:http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol