ICMP 에코 요청 및 응답만 허용하고 다른 ICMP 트래픽을 기록 및 삭제하는 iptables가 있는 Ubuntu 서버가 있습니다. 이 서버와 다른 Ubuntu 서버 사이에는 양쪽 끝에 고정 IP 주소가 있는 autossh를 사용하여 항상 SSH 연결이 있습니다. 따라서 이 두 서버 간의 트래픽은 거의 예측 가능합니다. 오늘 아주 이상한 ICMP 패킷을 보았습니다.
IN=eth0 OUT= SRC=203.0.113.1 DST=203.0.113.5 LEN=96 TOS=0x00 PREC=0x00 TTL=250 ID=59072
PROTO=ICMP TYPE=11 CODE=0
[SRC=203.0.113.5 DST=203.0.113.10 LEN=360 TOS=0x08 PREC=0x20 TTL=1 ID=56477 PROTO=TCP SPT=3435 DPT=49728 WINDOW=107 RES=0x00 ACK PSH URGP=0 ]
모든 IP는 공인 IP입니다.
내 서버 IP: 203.0.113.5 (3435는 내 서버의 SSH 포트입니다)
피어 서버 IP: 203.0.113.10
패킷 출처: 203.0.113.1
이 패킷은 무엇을 하려고 합니까?
답변1
IP 주소의 경우 비공개인 경우 편집할 필요가 없습니다. 편집하는 경우 다음을 사용하십시오.문서용으로 예약된 IPv4 주소이렇게 하면 최소한 네트워크 토폴로지에 대한 힌트를 얻을 수 있습니다.
귀하가 제공한 정보를 바탕으로 질문에 답변하세요.이 패킷은 무엇을 하려고 합니까?기반으로RFC 792:
ICMP type 11 code 0
설명하다
데이터그램을 처리하는 게이트웨이가 TTL(Time-to-Live) 필드가 0임을 발견하면 해당 데이터그램을 폐기해야 합니다. 게이트웨이는 시간 초과 메시지를 통해 소스 호스트에 알릴 수도 있습니다.
조각화된 데이터그램을 재조립하는 호스트가 시간 제한 내에 조각 누락으로 인해 재조립을 완료할 수 없는 경우 해당 데이터그램을 삭제하고 시간 초과 메시지를 보낼 수 있습니다.
조각 0을 사용할 수 없는 경우 시간 초과 메시지를 보낼 필요가 전혀 없습니다.
코드 0은 게이트웨이에서 수신될 수 있습니다. 코드 1은 호스트로부터 수신될 수 있습니다.