我已经设置了 iptables 来记录除一组有限用户之外的所有用户的传出流量,并且我正在尝试了解由此产生的日志消息。查看 /var/log/syslog,我看到从 127.0.0.1 到 127.0.0.53 的请求(DNS 查找?)以及相当多到 224.0.0.22 的请求,如下所示:
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 MARK=0x94
这是一个多播地址...有什么想法会导致这种情况吗?
最后,我有几个看起来像这样的,它们似乎是发往世界各地的传出 ICMP 请求:
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=151.80.9.69 LEN=138 TOS=0x08 PREC=0xC0 TTL=64 ID=26846 PROTO=ICMP TYPE=3 CODE=3 [SRC=151.80.9.69 DST=10.100.102.200 LEN=110 TOS=0x08 PREC=0x40 TTL=51 ID=48812 DF PROTO=UDP SPT=27209 DPT=8083 LEN=90 ]
但是,真正让我困惑的是括号()中的部分SRC=151.80.9.69 PROTO=UDP SPT=27209 DPT=8083。是否意味着 ICMP 数据包是对端口 8083 的 UDP 请求的响应?我是否应该担心这可能是入侵(或企图入侵)?如果是这样,我是否有任何理由不应该阻止所有传入的 UDP 流量?(我只有网络服务器监听端口 80 和 443,没有其他端口打开——我已经检查并仔细检查了这一点。)
感谢您帮助理解我在这里看到的内容......