我正在解析ufw日志,并且遇到了文档的限制,我可以ip6tables为ufw.
这篇非常好的博客文章很好地描述了 iptables 格式,但是我在那里找不到一些字段,即 AFAIU 是 IPv6 特定的。
这是一个示例条目:
May 13 11:35:12 servername kernel: [ 4113.240744] [UFW BLOCK] IN=eth0 OUT= MAC=nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn SRC=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn DST=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn LEN=178 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=UDP SPT=5678 DPT=5678 LEN=138
HOPLIMIT就像TTL,对吗?怎么样TC,,FLOWLBL这些是什么?如果它们适合某些标志或选项字段,请告诉我,它将影响我的解析方式。更好的是指向一个非常完整的博客条目,就像上面那样......
还有一个问题,为什么有 2 个LEN字段?
您共享的链接适用于 IPv4,您正在使用 IPv6。所以你需要谷歌,IPV6 文档。
简而言之:
HOPLIMIT - 跳数限制 - 生存时间的功能模拟
TC - 流量类别 - 定义了数据包中的信息类型(不同风格的控制和数据)。
FLOWLBL - 流标签 - 定义路由器的数据包优先级。
我不确定为什么日志包含两个 LEN 字段,但很可能是:标题长度和数据长度。
IPv4 中的数据包标头是固定格式,而在 IPv6 中,它可以部分修改为可变长度 - 因此有一个特殊的标头长度字段。
这是带有解释的半不错的字段列表。 https://www.geeksforgeeks.org/internet-protocol-version-6-ipv6-header/
更好的是一本完整的教科书。我喜欢:https ://www.oreilly.com/library/view/ipv6-essentials/0596001258/