今天我阅读了下面的 iptables-dropped 数据包日志,但我并不真正理解这个日志。我希望有人能帮助我。
我只打开了一个入站 SSH 端口 2221,对于我的传出流量,我打开了 DNS 端口 53 作为协议 UDP。
iptables-dropped: IN= OUT=eno1 SRC=myserver.ip DST=179.124.36.195 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=42743 PROTO=ICMP TYPE=3 CODE=3 [SRC=179.124.36.195 DST=myserver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=58511 DF PROTO=TCP SPT=57351 DPT=2221 WINDOW=29200 RES=0x00 SYN URGP=0 ]
看完日志,我问自己,“他(攻击者)怎么会尝试一个ICMP请求,这是否意味着我的服务器被入侵了?
然后我阅读了括号,我们看到有人尝试登录 SSH 端口。
一滴但2个不同的日志消息?
当 179.124.36.195 尝试连接到它时,您的 ssh 服务器似乎已关闭(3=ICMP_DEST_UNREACH),或者您有 iptables REJECT 规则阻止访问,导致 ICMP 响应由您的系统生成,而不是由“攻击者”系统生成由于 iptables 规则而被删除。
有一条日志消息。如果您想了解有关日志格式的详细信息,请在 linux 源代码中检查
net/ipv4/netfilter/nf_log_ipv4.c. 对于 5.4.8-gentoo,ICMP 日志格式从这里开始:有关导致 ICMP_DEST_UNREACH 的原因的有用详细信息已添加到从此处开始的日志消息中: