OS Xsshで表示される奇妙なIPアドレス
Mac OS XでDTraceをいじくり回していて、確立されている接続に関する情報を出力する次のスクリプトを見つけました。
$ cat script.d
syscall::connect:entry
{
printf("execname: %s\n", execname);
printf("pid: %d\n", pid);
printf("sockfd: %d\n",arg0);
socks = (struct sockaddr*)copyin(arg1, arg2);
hport = (uint_t)socks->sa_data[0];
lport = (uint_t)socks->sa_data[1];
hport <<= 8;
port = hport + lport;
printf("Port number: %d\n", port); printf("IP address: %d.%d.%d.%d\n",
socks->sa_data[2],
socks->sa_data[3],
socks->sa_data[4],
socks->sa_data[5]);
printf("======\n");
}
1つのウィンドウで実行します。
$ Sudo dtrace -s ./script.d
次に、別のウィンドウから別のマシンにSSH接続します。 dtraceウィンドウから次の出力を取得します。
CPU ID FUNCTION:NAME
0 18696 connect:entry execname: ssh
pid: 5446
sockfd: 3
Port number: 22
IP address: 192.168.0.207
======
0 18696 connect:entry execname: ssh
pid: 5446
sockfd: 5
Port number: 12148
IP address: 109.112.47.108
======
^C
私が説明できる最初のIPアドレス(192.168.0.207)、それは私が接続しているマシンです。しかし、109.112.47.108マシンとは何ですか? tcpdumpにもnetstat-anにも表示されません
Dtraceコード、または接続システムコールがどのように機能するかについての理解に何かありますか?
私はそれを理解したと思います。それは私がSolariusサイトから取得したdtraceスクリプトであり、BSD用に変更する必要があります。
そのアドレスへのtracerouteを実行して、それがどこにあるかを確認してください。ホップ数が2、3しかない場合は、ファイアウォールまたはスイッチである可能性があります。
イタリアのボーダフォンIPアドレスです。ヨーロッパ/イタリアのISPに接続していますか?そうでない場合は、心配し始めてください。
ポート12148はウイルス/トロイの木馬の問題のように見えます-感染したシステムをできるだけ早くクリーンアップするのが最善です
grep 'sshd.*from' secure.log いう?あなた以外の誰かがSSH経由でログインしている場合は、問題があります。そうでない場合は、 ブルートフォース攻撃の試みが失敗した である可能性があります。 DenyHostsまたはFail2Banを実行していますか?
Syscall :: connectに関するドキュメントが見つかりませんが、ソケットの両端が印刷されているようです。スクリプトを実行して別のマシンからSSHで接続するとどうなりますか?
価値があるので、このIPはvodafone.itネットワークの一部であるように見えます。観察する:
> Host -a 109.112.47.108
Trying "108.47.112.109.in-addr.arpa"
Host 108.47.112.109.in-addr.arpa. not found: 3(NXDOMAIN)
Received 116 bytes from 68.94.156.1#53 in 180 ms
> Host -a 47.112.109.in-addr.arpa
Trying "47.112.109.in-addr.arpa"
Received 112 bytes from 68.94.156.1#53 in 388 ms
Trying "47.112.109.in-addr.arpa.domain_not_set.invalid"
Host 47.112.109.in-addr.arpa not found: 3(NXDOMAIN)
Received 139 bytes from 68.94.156.1#53 in 859 ms
> Host -a 112.109.in-addr.arpa
Trying "112.109.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20054
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;112.109.in-addr.arpa. IN ANY
;; ANSWER SECTION:
112.109.in-addr.arpa. 28800 IN SOA mivsx030.net.vodafone.it. hostmaster.vodafone.it. 9 10800 3600 2592000 900
112.109.in-addr.arpa. 28800 IN NS mivsx030.net.vodafone.it.
112.109.in-addr.arpa. 28800 IN NS gmigdns006.net.vodafone.it.
Received 148 bytes from 68.94.156.1#53 in 373 ms