私のファイアウォール(iptables
)は、私が理解したい奇妙なICMPタイプ3コード10トラフィックをログに記録します(具体的には、これが何らかのエクスプロイトである可能性があるかどうか)。
ログに記録されたトラフィック(過去数か月間は1日1回、数秒間隔で4〜6パケット):
[〜#〜] in [〜#〜]= eth0[〜#〜] out [〜#〜 ]=[〜#〜] mac [〜#〜]=(eth0 MAC)[〜#〜] src [〜#〜]=(外部IPアドレス)[〜#〜] dst [〜#〜]=(私のIPアドレス)[〜#〜] len [〜#〜]= 72[〜#〜] tos [〜# 〜]= 0x00[〜#〜] prec [〜#〜]= 0x00[〜#〜] ttl [〜#〜]= 50[〜#〜] id [〜#〜]= 35145[〜#〜] proto [〜#〜]= ICMP[〜#〜 ] type [〜#〜]= 3[〜#〜] code [〜#〜]= 10 [ [〜#〜] src [〜#〜]=(私のIPアドレス)[〜#〜] dst [〜#〜]=(外部IPアドレス)[〜#〜] len [〜#〜]= 44[〜#〜] tos [〜#〜]= 0x00[〜#〜] prec [〜#〜]= 0x00[〜#〜 ] ttl [〜#〜]= 50[〜#〜] id [〜#〜]= 0[〜#〜] df [〜#〜][〜#〜] proto [〜#〜]= TCP[〜#〜] spt [〜#〜]= 25[ 〜#〜] dpt [〜#〜]= 53454[〜#〜 ] window [〜#〜]= 28200[〜#〜] res [〜#〜]= 0x00[〜#〜] ack [〜#〜][〜#〜] syn [〜#〜][〜#〜] urgp [〜#〜]= 0]
すべてのログは、(外部IPアドレス)が上記のICMPパケットのみを送信することを示しています。
(外部IPアドレス)からの他のトラフィックは同じ期間に記録されません(以下の更新を参照)。
デフォルトでは、システムは(外部IPアドレス)の国から発信されたトラフィックをログに記録してドロップします。
これは、おそらく(私のIPアドレス)をだまして(外部IPアドレス)に何かを送信させるためのエクスプロイトである可能性があります。デフォルトでトラフィックをドロップしませんでしたか?
どんな洞察も歓迎します。
Update:ログは、(外部IPアドレス)が以前のポート80および443に一貫して接続していることを示していますICMPパケット(ICMPパケットのそれぞれ9時間前と7時間前)。両方の試行は、デフォルトのファイアウォールポリシーによってドロップされました。
Network-Tools.com によると(外部IPアドレス)の起源は南アジアおよび東アジア地域の中国(CN)です、およびホスト名はIPアドレスに関連付けられていません。
ICMPタイプ3コード10
これは、別のファイアウォールからの応答であることを意味します。次で終わるiptablesルールがある場合:
REJECT --reject-with icmp-net-prohibited
そして、あなたからの要求はこのルールの対象であり、あなたはコード10 タイプ3 ICMPパケット を受け取り、あなたがポートに到達できないことを通知します。これは正しい応答と見なされます。DROP
は応答を送信しないため、 "へのmoreトラフィックを生成する傾向があります。謎を解くための到達不能なアドレス。1
この場合、アプリケーションが不必要にハングする原因となるため、ファイアウォールによって拒否されている理由を特定し、ルールを修正する必要があります。おそらく、リストの初期に何かがあるか、適切なRELATED、ESTABLISHEDルールがありません。
これは、デフォルトでトラフィックをドロップしなかったと仮定して、(私のIPアドレス)をだまして(外国のIPアドレス)に何かを送信させる、ある種のICMPポリシーですか?
ありそうもないので、返事は期待されていません。
1. DROP
を 隠すことによるセキュリティ メカニズムとして使用することは、正当な攻撃者が行う必要があるのはポートスキャンだけであるため、まったく意味がありません。それらの1つは何かに応答する必要があります。そうでない場合、それはパブリックサーバーではありません。さらに、それは、ボギーマンではないシステム(つまり、それらのほとんど)に不要な追加のトラフィックと問題を生成します。アクセスを拒否したい場合は、アクセスを拒否していると言ってください。 DROP
は、ローカルシステムからのブロードキャストパケットなど、認識しているが無視したいトラフィックでのみ使用する必要があります。