এই বার্তাটি আমার সিসলোগকে প্লাবিত করছে, কোথা থেকে এসেছে তা কীভাবে খুঁজে পাব?

15

আমি যখন চালনা করি তখন dmesgপ্রতি সেকেন্ডে বা এ পর্যন্ত উঠে আসে:

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

এই বার্তাটির কারণ কীভাবে আমি তা চিহ্নিত করতে পারি?

networking 
peterretief
সূত্র
1
এটি বিরক্তিকর ufw লগিং হয়। আপনি এটি বন্ধ করতে পারেন। অন্য লগ চ্যানেলটি ব্যবহার করার জন্য ইউএফডাব্লিকে কনফিগার করাও সম্ভব, সুতরাং এটি ডেমেসকে দূষিত করবে না, তবে এটি খুব জটিল (খুব সামান্য ইউএফডাব্লু প্যাচ প্রয়োজন হতে পারে)।
পিটারহ - মনিকা পুনরায় ইনস্টল করুন
FWIW যদি আপনি ইউএফডাব্লু সম্পর্কে অপরিচিত হন তবে আপনার সিস্টেমটি সম্ভবত সরাসরি ইন্টারনেটের সাথে সংযুক্ত থাকা উচিত নয়।
মোজবয়েস

উত্তর:

56

ফায়ারওয়াল লগ এন্ট্রি সম্পর্কিত প্রযুক্তিগত বিশ্লেষণে বিদ্যমান উত্তরটি সঠিক, তবে এটি একটি পয়েন্ট হারিয়েছে যা উপসংহারটিকে ভুল করে তোলে। প্যাকেট

  • একটি RST(রিসেট) প্যাকেট
  • থেকে SRC=35.162.106.154
  • আপনার হোস্ট এ DST=104.248.41.4
  • মাধ্যমে TCP
  • তার বন্দর থেকে SPT=25
  • আপনার বন্দরে DPT=50616
  • এবং BLOCKইউএফডাব্লু দ্বারা সম্পাদিত হয়েছে ।

পোর্ট 25 (উত্স বন্দর) সাধারণত ইমেলের জন্য ব্যবহৃত হয়। পোর্ট 50616 ইফেমেরাল পোর্ট সীমার মধ্যে রয়েছে, যার অর্থ এই বন্দরের জন্য কোনও সামঞ্জস্যপূর্ণ ব্যবহারকারী নেই। বেশ কয়েকটি অপ্রত্যাশিত পরিস্থিতির প্রতিক্রিয়ায় একটি টিসিপি "রিসেট" প্যাকেট পাঠানো যেতে পারে যেমন সংযোগ বন্ধ হওয়ার পরে উপস্থিত ডেটা বা কোনও সংযোগ স্থাপন না করেই ডেটা প্রেরণ করা হয়।

35.162.106.154cxr.mx.a.cloudfilter.netক্লাউডমার্ক ইমেল ফিল্টারিং পরিষেবা দ্বারা ব্যবহৃত একটি ডোমেন, এর বিপরীতে সমাধান হয় ।

আপনার কম্পিউটার বা কেউ আপনার কম্পিউটার হিসাবে ভান করছেন, ক্লাউডমার্কের একটি সার্ভারে ডেটা প্রেরণ করছেন। ডেটা অপ্রত্যাশিতভাবে পৌঁছে যাচ্ছে এবং সার্ভারটি RSTপ্রেরণকারী কম্পিউটারটিকে থামিয়ে দিতে বলার সাথে সাড়া দিচ্ছে । ফায়ারওয়ালটি RSTকিছু অ্যাপ্লিকেশনে RSTপাঠানোর পরিবর্তে ড্রপ করে দেওয়া হচ্ছে , যে ডেটা প্রেরণের কারণ ঘটছে তা আপনার কম্পিউটার থেকে আসে না। পরিবর্তে, আপনি সম্ভবত একটি অস্বীকৃত-পরিষেবা আক্রমণ থেকে ব্যাকস্ক্যাটারটি দেখছেন, যেখানে আক্রমণকারী ক্লাউডমার্কের মেইল ​​সার্ভারগুলিকে অফলাইনে ছুঁড়ে ফেলার চেষ্টা করে "সম্ভবত" ঠিকানা দিয়ে প্যাকেটগুলির বন্যা প্রেরণ করছে (সম্ভবত স্প্যামিংকে আরও কার্যকর করার জন্য)।

ছাপ
সূত্র
3
দুর্দান্ত বিশ্লেষণের জন্য +1! আমার কোনও ধারণা ছিল না ...
পার্লডাক
15

বার্তাগুলি ইউএফডাব্লু , "জটিল জটিল ফায়ারওয়াল" থেকে এসেছে এবং এটি আপনাকে বলে যে কেউ

  • থেকে SRC=35.162.106.154
  • আপনার হোস্টের সাথে সংযোগ দেওয়ার চেষ্টা করেছি DST=104.248.41.4
  • মাধ্যমে TCP
  • তাদের বন্দর থেকে SPT=25
  • আপনার বন্দরে DPT=50616
  • এবং সেই ইউএফডাব্লু সফলভাবে সেই চেষ্টাটি সম্পাদনা করেছে BLOCK

এই সাইট অনুসারে উত্স ঠিকানা 35.162.106.154 কিছু অ্যামাজন মেশিন (সম্ভবত একটি এডাব্লুএস)। এই সাইট অনুসারে পোর্ট 50616 Xsan ফাইল সিস্টেম অ্যাক্সেসের জন্য ব্যবহার করা যেতে পারে ।

সুতরাং এটি আপনার ফাইল অ্যাক্সেস করার জন্য আইপি = 35.162.106.154 থেকে একটি প্রচেষ্টা। বেশ স্বাভাবিক এবং সত্যই উদ্বিগ্ন হওয়ার মতো কিছুই নয় কারণ ফায়ারওয়ালগুলি এর জন্য: এই ধরনের প্রচেষ্টা প্রত্যাখ্যান করে।

PerlDuck
সূত্র
দেখে মনে হচ্ছে চেষ্টা করা সংযোগটি একটি অ্যামাজন অ্যাকাউন্ট থেকে, পোর্ট 25 একটি মেল পোর্ট হ'ল আমি কি এটির রিপোর্ট করব বা কেবল এটিকে উপেক্ষা করব? আমার লগগুলিকে স্প্যাম করছে
পিটাররিটিফ
6
@ পেটারিটিফ আপনি এটি আপনার রাউটারে ব্লক করতে পারেন; তাহলে আপনি এটি দেখতে পাবেন না। তবে এটি আপনার আইএসপিকে জানানো বুদ্ধিমানের কাজ হতে পারে।
রিঞ্জউইন্ড
8
আসলে এটি "আরএসটি" বলে না "এসওয়াইএন" তাই এটি প্রত্যাখ্যাত বিদায়ী এসএমটিপি প্রচেষ্টা প্যাকেট যা ফিল্টার আউট ছিল।
eckes
3
অন্য উত্তরটি আমার কাছে সঠিক হতে পারে বলে মনে হয়।
বার্মার
5
@ বারমার সত্যই, এবং খুব দয়া করে লিখেছেন। যে এক গ্রহণযোগ্য উত্তর হওয়া উচিত।
পার্লডাক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.