Lorsque je lance, dmesg
cela arrive toutes les secondes environ:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
Comment puis-je retrouver la cause de ce message?
networking
peterretief
la source
la source
Réponses:
La réponse existante est correcte dans son analyse technique de l'entrée du journal du pare-feu, mais il manque un point qui rend la conclusion incorrecte. Le Colis
RST
paquet (réinitialisé)SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
édité par UFW.Le port 25 (le port source) est couramment utilisé pour le courrier électronique. Le port 50616 est dans la plage de ports éphémères , ce qui signifie qu'il n'y a pas d'utilisateur cohérent pour ce port. Un paquet TCP de «réinitialisation» peut être envoyé en réponse à un certain nombre de situations inattendues, telles que des données arrivant après la fermeture d'une connexion, ou des données envoyées sans établir au préalable une connexion.
35.162.106.154
résout à l'enverscxr.mx.a.cloudfilter.net
, un domaine utilisé par le service de filtrage des e-mails CloudMark.Votre ordinateur, ou quelqu'un prétendant être votre ordinateur, envoie des données à l'un des serveurs de CloudMark. Les données arrivent de façon inattendue et le serveur répond avec un
RST
pour demander à l'ordinateur expéditeur de s'arrêter. Étant donné que le pare-feu abandonneRST
plutôt que de le transmettre à une application, les données qui provoquent l'RST
envoi ne proviennent pas de votre ordinateur. Au lieu de cela, vous voyez probablement une rétrodiffusion d'une attaque par déni de service, où l'attaquant envoie des flots de paquets avec des adresses "de" falsifiées dans le but de mettre les serveurs de messagerie de CloudMark hors ligne (peut-être pour rendre le spam plus efficace).la source
Les messages proviennent d' UFW , le "pare-feu simple" et il vous indique que quelqu'un
SRC=35.162.106.154
DST=104.248.41.4
TCP
SPT=25
DPT=50616
BLOCK
cette tentative.Selon ce site, l'adresse source 35.162.106.154 est une machine Amazon (probablement une AWS). Selon ce site, le port 50616 peut être utilisé pour l' accès au système de fichiers Xsan .
C'est donc une tentative de IP = 35.162.106.154 d'accéder à vos fichiers. Assez normal et rien de vraiment inquiétant car c'est à cela que servent les pare-feu: rejeter de telles tentatives.
la source