다음 로그 항목 이벤트 중에 무슨 일이 발생했나요?
Nov* 8 09:37:12 kernel: [10967.520783] New Input packets: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.1.2 DST=192.168.1.2 LEN=85 TOS=0x00 PREC=0xC0 TTL=64 ID=6855 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.2 DST=192.168.1.1 LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=60616 DF PROTO=UDP SPT=49662 DPT=53 LEN=37 ]
Nov* 8 09:38:13 kernel: [11029.272652] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
1.첫 번째 예에서 대괄호를 사용한 이유는 무엇입니까?
대괄호 안의 숫자는 의미와 그 이유가 다릅니다.
MAC 주소 끝의 08:00은 무엇을 의미합니까?
두 번째 예에서는 멀티캐스트 주소와 0.0.0.0 주소의 역할은 무엇입니까?
왜 TTL=1인가?
감사합니다!
답변1
Nov* 8 09:37:12 kernel: [10967.520783] New Input packets: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.1.2 DST=192.168.1.2 LEN=85 TOS=0x00 PREC=0xC0 TTL=64 ID=6855 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.2 DST=192.168.1.1 LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=60616 DF PROTO=UDP SPT=49662 DPT=53 LEN=37 ]
[10967.520783]메시지가 생성된 시점의 커널 가동 시간(초)입니다. 처음에 이것은 커널 로그 메시지의 첫 번째 부분입니다. 그러나 메시지는 다른 것(아마도 syslog 데몬?)에 의해 처리된 것으로 보입니다. 이 메시지는 사람이 읽을 수 있는 타임스탬프를 앞에 추가하고 kernel:메시지가 애플리케이션이나 서비스에 의해 기록된 것이 아니라 운영 체제 커널에 의해 기록되었음을 나타냅니다. .
이 로그 메시지는 루프백 인터페이스( )를 통해 Netfilter에 도착하는 패킷을 설명하므로 IN=lo실제 이더넷 계층이 포함되지 않으므로 소스 및 대상 MAC 주소가 모두 0입니다. 08:00문자열의 끝은 다음 MAC=과 같을 수 있습니다.에테르형, 하위 계층 패킷의 "페이로드"에 IPv4 패킷이 포함되어 있음을 나타냅니다.
소스 및 대상 IP 주소는 모두 192.168.1.2이므로 패킷은 호스트 192.168.1.2에서 로컬로 생성된 것으로 보입니다. IPv4 패킷의 페이로드에는ICMP 패킷 유형 3, 코드 1- 즉, "호스트에 연결할 수 없음" 오류 패킷.
오류 메시지가 전송된 원인을 파악할 수 없으면 오류 메시지는 의미가 없습니다. 따라서 ICMP 오류 패킷에는 오류를 감지한 원본 패킷의 헤더가 포함되어 있습니다. 이러한 헤더는 대괄호 안에 디코딩됩니다.
[SRC=192.168.1.2 DST=192.168.1.1 LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=60616 DF PROTO=UDP SPT=49662 DPT=53 LEN=37 ]
따라서 오류 메시지를 발생시키는 패킷은 Host unreachable이 호스트(192.168.1.2)에서 시작되고 대상은 192.168.1.1입니다. 프로토콜은 UDP이고 대상 UDP 포트는 표준 DNS 포트인 53입니다. 따라서 호스트에는 192.168.1.1을 DNS 서버로 사용하도록 지시하는 일부 구성(수동 또는 DHCP를 통해)이 분명히 있습니다. 그러나 UDP 패킷을 192.168.1.1의 DNS 서버로 보내려고 할 때 문제가 발생했습니다. 커널이 네트워크 연결 끊김을 감지했거나 커널이 192.168.1.1의 MAC 주소를 찾기 위해 ARP 요청을 발행하려고 시도했지만 응답을 받지 못했을 수 있습니다. 따라서 커널은 ICMP 오류 패킷을 생성하고 루프백 인터페이스를 통해 로컬로 보냅니다.
Nov* 8 09:38:13 kernel: [11029.272652] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
타임스탬프 합계의 해석은 kernel:첫 번째 메시지와 동일합니다.
이 메시지는 무선 네트워크 인터페이스를 통해 들어오는 패킷을 설명합니다 wlo1. 문자열이 레이어 2 이더넷 패킷 시작 부분의 처음 14바이트라고 가정하면 MAC=대상 MAC 주소(= 아마도 이 호스트의 MAC 주소)는 다음과 같습니다 b8:81:98:cb:ef:a8. 한 사람에 따르면MAC 주소 쿼리 웹사이트, 이 MAC은 Intel에서 제조한 네트워크 어댑터(또는 기타 장치)에 속합니다.
소스 MAC 주소는 입니다 5c:77:77:6e:0d:7b. 공급업체 조회에서 이 주소에 대한 정보를 공개하지 못했습니다.
두 MAC 주소는 모두 정규적이고 전역적으로 고유한 유니캐스트 MAC 주소입니다. 패킷에 멀티캐스트 IP 주소가 포함되어 있기 때문에 이는 놀라운 일이 될 수 있습니다. 이는 Wi-Fi 네트워크에서 멀티캐스트 메시지가 처리되는 방식으로 인해 발생할 수 있습니다.
다시 08:00Ethertype으로, 평범한 오래된 IPv4를 의미합니다.
대상 IP 주소 224.0.0.1은 표준 "모든 호스트" 멀티캐스트 주소입니다. 전체 인터넷에 걸쳐 모든 멀티캐스트 가능 시스템에 패킷을 보내는 것은 의미가 없으므로 TTL=1이 멀티캐스트를 단일 서브넷 내의 모든 호스트로만 제한하십시오.
PROTO=2이것이임을 나타냅니다.IGMP(인터넷 그룹 관리 프로토콜)패킷: 멀티캐스트 라우터 및 멀티캐스트 가능 시스템은 이러한 패킷을 사용하여 각 멀티캐스트 가능 시스템이 가입하려는 멀티캐스트 그룹을 찾습니다. (각 멀티캐스트 가능 호스트는 항상 모든 호스트 그룹의 일부입니다.) 이 메시지의 IGMP 데이터는 디코딩되지 않지만 IP 패킷 길이가 32옥텟( LEN=32)에 불과하므로 이는 IGMPv2 일반 멤버십 쿼리 패킷일 가능성이 높습니다.
기본적으로 멀티캐스트 가능 라우터는 모든 멀티캐스트 가능 시스템에 멀티캐스트 트래픽 수신을 원하는지 여부를 보고하도록 요청합니다.