Linux-Kernel
為什麼 UFW 將 ICMP 和 TCP/UDP 記錄在同一行中?
我試圖了解日誌格式是如何組織的。我的問題是為什麼 ICMP 塊與一些關於另一個 TCP/UDP 數據包的附件一起使用。我應該如何理解這一點
$$ include $$以及該數據包與 ICMP 數據包的關係如何? 核心:
$$ 172040.205327 $$ $$ UFW BLOCK $$IN=eth0 … SRC=114.236.141.172 DST=10.128.0.90 … TTL=51 ID=16875 PROTO=ICMP TYPE=3 CODE=10**$$ SRC=10.128.0.90 DST=114.236.141.172 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=42243 PROTO=TCP SPT=34363 DPT=9001 WINDOW=0 RES=0x00 SYN URGP=0 $$** 一些真實的例子:
May 25 22:03:55 wserver kernel: [ 3947.677603] [UFW BLOCK] IN=eth0 OUT= MAC=d0:0d:bb:4b:49:33:00:00:5e:00:01:00:08:00 SRC=31.169.86.96 DST=10.128.0.90 LEN=91 TOS=0x00 PREC=0x60 TTL=51 ID=15517 PROTO=ICMP TYPE=3 CODE=3 [SRC=10.128.0.90 DST=31.169.86.96 LEN=63 TOS=0x00 PREC=0x00 TTL=244 ID=57829 PROTO=UDP SPT=80 DPT=53 LEN=43 ] May 25 22:05:43 wserver kernel: [ 4055.788663] [UFW BLOCK] IN=eth0 OUT= MAC=d0:0d:bb:4b:49:33:00:00:5e:00:01:00:08:00 SRC=105.188.134.176 DST=10.128.0.90 LEN=91 TOS=0x00 PREC=0x60 TTL=51 ID=43291 PROTO=ICMP TYPE=3 CODE=3 [SRC=10.128.0.90 DST=105.188.134.176 LEN=63 TOS=0x08 PREC=0x20 TTL=246 ID=5800 PROTO=UDP SPT=80 DPT=53 LEN=43 ] May 26 20:45:27 wserver kernel: [172040.205327] [UFW BLOCK] IN=eth0 OUT= MAC=d0:0d:bb:4b:49:33:00:00:5e:00:01:00:08:00 SRC=114.236.141.172 DST=10.128.0.90 LEN=68 TOS=0x00 PREC=0x60 TTL=51 ID=16875 PROTO=ICMP TYPE=3 CODE=10 [SRC=10.128.0.90 DST=114.236.141.172 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=42243 PROTO=TCP SPT=34363 DPT=9001 WINDOW=0 RES=0x00 SYN URGP=0 ] May 26 22:13:58 wserver kernel: [177351.825395] [UFW BLOCK] IN=eth0 OUT= MAC=d0:0d:bb:4b:49:33:00:00:5e:00:01:00:08:00 SRC=50.97.40.71 DST=10.128.0.90 LEN=576 TOS=0x00 PREC=0x60 TTL=50 ID=23007 PROTO=ICMP TYPE=3 CODE=10 [SRC=10.128.0.90 DST=50.97.40.71 LEN=1500 TOS=0x00 PREC=0x00 TTL=239 ID=64030 PROTO=ESP SPI=0x0 ]
ICMP 錯誤消息本身包含 ip 標頭 + 64 位原始數據數據報。它有助於確定此錯誤消息與哪個數據包相關。
在你的情況下:
ICMP TYPE=3意思是“目的地無法到達”ICMP CODE=10意思是“主機管理員被禁止”[ SRC=10.128.0.90 DST=114.236.141.172 ... PROTO=TCP SPT=34363 DPT=9001 ]是原始拒絕數據報的 IPv4 標頭 + 開頭。有關詳細資訊,請參閱RFC 792第 3 頁。