A veces recibo muchas de estas entradas de registro de AUDITORÍA en
...
[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
...
¿Cuál es el significado de este? ¿Cuándo ocurren y por qué? ¿Debería y puedo desactivar estas entradas específicas? No deseo deshabilitar el registro UFW, pero no estoy seguro de si estas líneas son útiles en absoluto.
Tenga en cuenta que esto no ocurre realmente en /var/log/ufw.log
. Solo ocurre en /var/log/syslog
. ¿Por qué es este el caso?
Más información
- mi registro se establece en medio:
Logging: on (medium)
Eso depende de la línea. Por lo general, es Campo = valor.
Hay IN, OUT, la interfaz entrante o saliente (o ambos, para el paquete que se acaba de retransmitir).
Algunos de ellos son:
etc.
Debería echar un vistazo a la documentación de TCP / UDP / IP, donde todo se explica de una manera más detallada que podría hacer.
Tomemos el primero, eso significa que 176.58.105.134 envió un paquete UDP en el puerto 123 para 194.238.48.2. Eso es para
ntp
. Así que supongo que alguien intenta usar su computadora como un servidor ntp, probablemente por error.Para la otra línea, eso es curioso, eso es tráfico en la interfaz de bucle invertido (lo), es decir, eso no va a ninguna parte, va y viene de su computadora.
Verificaría si algo está escuchando en el puerto tcp 30002 con
lsof
onetstat
.fuente
ntp
embargo, no sé nada , ¿debería preocuparme?Además de lo que se ha dicho, también es posible inferir lo que se registrará mediante la inspección de las reglas de iptables . Específicamente, las reglas de coincidencia que se están registrando se pueden filtrar así
sudo iptables -L | grep -i "log"
:Esas son, en su mayor parte, reglas predeterminadas. La inspección de la salida anterior revela las
ufw-before-*
cadenas para generar registros de [AUDITORÍA UFW ...].No soy un gran experto en iptables y el manual de UFW no es muy útil en esto, pero por lo que puedo decir, las reglas que coinciden con esta cadena se encuentran en /etc/ufw/before.rules .
Por ejemplo, las líneas a continuación permiten conexiones de bucle invertido que podrían haber activado las dos últimas líneas de ejemplo en su registro (las que comienzan con [UFW AUDIT] IN = lo)
En cuanto a mi parte, recibo muchos paquetes LLMNR registrados en el puerto 5353:
Que creo que son causadas por el siguiente en
rules.before
:Una forma de desactivarlos es activar lo siguiente:
fuente