Ssh
iptables-丟包理解
今天我閱讀了下面的 iptables-dropped 數據包日誌,但我並不真正理解這個日誌。我希望有人能幫助我。
我只打開了一個入站 SSH 埠 2221,對於我的傳出流量,我打開了 DNS 埠 53 作為協議 UDP。
iptables-dropped: IN= OUT=eno1 SRC=myserver.ip DST=179.124.36.195 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=42743 PROTO=ICMP TYPE=3 CODE=3 [SRC=179.124.36.195 DST=myserver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=58511 DF PROTO=TCP SPT=57351 DPT=2221 WINDOW=29200 RES=0x00 SYN URGP=0 ]
看完日誌,我問自己,“他(攻擊者)怎麼會嘗試一個ICMP請求,這是否意味著我的伺服器被入侵了?
然後我閱讀了括號,我們看到有人嘗試登錄 SSH 埠。
一滴但2個不同的日誌消息?
當 179.124.36.195 嘗試連接到它時,您的 ssh 伺服器似乎已關閉(3=ICMP_DEST_UNREACH),或者您有 iptables REJECT 規則阻止訪問,導致 ICMP 響應由您的系統生成,而不是由“攻擊者”系統生成由於 iptables 規則而被刪除。
有一條日誌消息。如果您想了解有關日誌格式的詳細資訊,請在 linux 原始碼中檢查
net/ipv4/netfilter/nf_log_ipv4.c
. 對於 5.4.8-gentoo,ICMP 日誌格式從這裡開始:111 case IPPROTO_ICMP: {
有關導致 ICMP_DEST_UNREACH 的原因的有用詳細資訊已添加到從此處開始的日誌消息中:
177 case ICMP_DEST_UNREACH: