当我运行时dmesg,每隔一秒左右就会出现:
[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0
如何追踪导致此消息的原因?
Mar*_*ark 56
现有答案在对防火墙日志条目的技术分析中是正确的,但缺少一点使结论不正确。数据包
RST(重置)数据包SRC=35.162.106.154DST=104.248.41.4TCPSPT=25DPT=50616BLOCKUFW 编辑。端口 25(源端口)通常用于电子邮件。端口 50616 在临时端口范围内,这意味着此端口没有一致的用户。TCP“重置”数据包可以在许多意外情况下发送,例如在连接关闭后到达的数据,或者在没有首先建立连接的情况下发送数据。
35.162.106.154反向解析为cxr.mx.a.cloudfilter.netCloudMark 电子邮件过滤服务使用的域。
您的计算机或冒充您计算机的人正在向 CloudMark 的其中一台服务器发送数据。数据意外到达,服务器正在响应RST请求发送计算机停止。鉴于防火墙正在丢弃RST而不是将其传递给某些应用程序,导致RST发送的数据不是来自您的计算机。相反,您可能会看到拒绝服务攻击的反向散射,其中攻击者发送大量带有伪造“发件人”地址的数据包,试图使 CloudMark 的邮件服务器脱机(可能是为了使垃圾邮件发送更有效)。
Per*_*uck 15
这些消息来自UFW,即“简单的防火墙”,它告诉您有人
SRC=35.162.106.154DST=104.248.41.4TCP SPT=25DPT=50616BLOCK该尝试。根据该站点 ,源地址 35.162.106.154 是一些亚马逊机器(可能是 AWS)。根据此站点 ,端口 50616 可用于Xsan 文件系统访问。
所以这是从 IP=35.162.106.154 尝试访问您的文件。很正常,没有什么可真正担心的,因为这就是防火墙的用途:拒绝此类尝试。