Cuando ejecuto dmesg
esto aparece cada segundo más o menos:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
¿Cómo puedo rastrear qué está causando este mensaje?
networking
peterretief
fuente
fuente
Respuestas:
La respuesta existente es correcta en su análisis técnico de la entrada del registro del firewall, pero le falta un punto que hace que la conclusión sea incorrecta. El paquete
RST
paquete (restablecer)SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
editado por UFW.El puerto 25 (el puerto de origen) se usa comúnmente para el correo electrónico. El puerto 50616 está en el rango de puertos efímeros , lo que significa que no hay un usuario consistente para este puerto. Se puede enviar un paquete de "restablecimiento" de TCP en respuesta a una serie de situaciones inesperadas, como los datos que llegan después de que se ha cerrado una conexión, o los datos que se envían sin establecer primero una conexión.
35.162.106.154
revierte acxr.mx.a.cloudfilter.net
, un dominio utilizado por el servicio de filtrado de correo electrónico CloudMark.Su computadora, o alguien que finge ser su computadora, está enviando datos a uno de los servidores de CloudMark. Los datos llegan inesperadamente y el servidor responde con un
RST
pedido para que la computadora que envía se detenga. Dado que el cortafuegos está cayendo enRST
lugar de pasarlo a alguna aplicación, los datos que causan elRST
envío no provienen de su computadora. En cambio, es probable que vea una retrodispersión de un ataque de denegación de servicio, donde el atacante está enviando inundaciones de paquetes con direcciones "de" falsificadas en un intento de desconectar los servidores de correo de CloudMark (quizás para hacer que el envío de correo no deseado sea más efectivo).fuente
Los mensajes provienen de UFW , el "firewall sin complicaciones" y te dice que alguien
SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
editado con éxito ese intento.Según este sitio, la dirección de origen 35.162.106.154 es una máquina de Amazon (probablemente un AWS). De acuerdo con este sitio, el puerto 50616 puede usarse para el acceso al sistema de archivos Xsan .
Entonces, es un intento de IP = 35.162.106.154 para acceder a sus archivos. Es normal y no hay nada de qué preocuparse porque para eso están los firewalls: rechazar tales intentos.
fuente