Testando o ping no Ubuntu 22.04:
Host A IPv6: 1111:1111:1111:1111:1111:1111:1111:1111
Host B IPv6: 2222:2222:2222:2222:2222:2222:2222:2222
Anfitrião A:
Agora execute um ping do Host A com o seguinte comando bash:
root@host_a:~# ping -6 2222:2222:2222:2222:2222:2222:2222:2222
Hospedeiro B:
O iptables descartou alguns pacotes e registrou no arquivo:
7 de dezembro 18:21:52 host_b kernel: [988.996335] saída descartada: IN= OUT=ens33 SRC=192.168.1.1 DST=192.168.2.1 LEN=83 TOS=0x00 PREC=0x00 TTL=64 ID=52289 PROTO=UDP SPT =41151 DPT=53 LEN=63 UID=113 GID=118
7 de dezembro 18:21:52 host_b kernel: [ 988.998359] saída descartada: IN= OUT=ens33 SRC=2222:2222:2222:2222:2222:2222:2222:2222 DST=1111:1111:1111:1111:1111: 1111:1111:1111 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TIPO=136 CÓDIGO=0
7 de dezembro 18:21:53 host_b kernel: [ 990.001075] saída descartada: IN= OUT=ens33 SRC=2222:2222:2222:2222:2222:2222:2222:2222 DST=1111:1111:1111:1111:1111: 1111:1111:1111 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TIPO=136 CÓDIGO=0
Do first log line, há um UIDe GIDinformações:
UID=113 GID=118
Podemos encontrar o usuário usando este método:
root@host_b:~# cat /etc/passwd | grep 113
Mas para as linhas 2nde 3rdnão há nenhum UIDou GIDno log.
Pergunta:
Como descobrir qual programa está enviando os seguintes pacotes de rede?
PROTO=ICMPv6 TYPE=136 CODE=0
Nota: Com base no log do iptables, este programa "Desconhecido" aceita pacotes ICMPv6 de entrada e, em seguida, envia pacotes ICMPv6 de saída, mas o iptables não pode registrar o UID e GID desse programa "Desconhecido" quando o pacote é descartado por regra.
consulte Neighbor Discovery Protocol As mensagens ICMP bloqueadas pertencem à pilha ipv6. Bloqueá-los não é uma boa ideia. A pilha em parte do kernel, nenhum processo do usuário. Não há UID /GID de um processo de usuário.