当我运行时,dmesg每隔一秒左右就会出现一次这种情况:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
我怎样才能追踪导致此消息的原因?
答案1
现有的答案在对防火墙日志条目进行技术分析时是正确的,但缺少一点,导致结论不正确。数据包
- 是一个
RST(重置)数据包 - 从
SRC=35.162.106.154 - 寄至您的主人
DST=104.248.41.4 - 通过
TCP - 从他的港口
SPT=25 - 到你的港口
DPT=50616 - 并已由
BLOCKUFW 编辑。
端口 25(源端口)通常用于电子邮件。端口 50616 位于临时端口范围,这意味着此端口没有一致的用户。TCP“重置”数据包可以响应许多意外情况而发送,例如在连接关闭后到达的数据,或者在未先建立连接的情况下发送的数据。
35.162.106.154反向解析为cxr.mx.a.cloudfilter.net,CloudMark 电子邮件过滤服务使用的域。
您的计算机或某个冒充您计算机的人正在向 CloudMark 的某个服务器发送数据。数据意外到达,服务器响应并RST要求发送的计算机停止。由于防火墙丢弃了RST而不是将其传递给某个应用程序,因此导致发送的数据RST并非来自您的计算机。相反,您可能看到的是拒绝服务攻击的反向散射,攻击者发送大量带有伪造“发件人”地址的数据包,试图使 CloudMark 的邮件服务器脱机(可能是为了使垃圾邮件更有效)。