제한된 사용자 집합을 제외한 모든 사용자에 대해 나가는 트래픽을 기록하도록 iptables를 설정했으며 결과 로그 메시지를 이해하려고 노력하고 있습니다. /var/log/syslog를 보면 다음과 같이 127.0.0.1에서 127.0.0.53(DNS 조회?)까지의 요청과 224.0.0.22에 대한 요청이 꽤 많이 있습니다.
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 MARK=0x94
이것은 멀티캐스트 주소입니다. 원인이 무엇인지 아시나요?
마지막으로 다음과 같은 몇 가지가 있는데, 이는 전 세계로 ICMP 요청을 보내는 것으로 보입니다.
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=151.80.9.69 LEN=138 TOS=0x08 PREC=0xC0 TTL=64 ID=26846 PROTO=ICMP TYPE=3 CODE=3 [SRC=151.80.9.69 DST=10.100.102.200 LEN=110 TOS=0x08 PREC=0x40 TTL=51 ID=48812 DF PROTO=UDP SPT=27209 DPT=8083 LEN=90 ]
그런데 정말 헷갈리는 것은 SRC=151.80.9.69 PROTO=UDP SPT=27209 DPT=8083괄호( ) 안의 부분이다. ICMP 패킷이 포트 8083의 UDP 요청에 대한 응답이라는 의미입니까? 이것이 침입(또는 침입 시도)일 수 있다는 점을 걱정해야 합니까? 그렇다면 들어오는 모든 UDP 트래픽을 차단하면 안되는 이유가 있습니까? (웹 서버는 포트 80과 443에서만 수신 대기하고 있으며 다른 포트는 열려 있지 않습니다. 이것을 확인하고 다시 확인했습니다.)
내가 여기서 보고 있는 내용을 이해하는 데 도움을 주셔서 감사합니다...
답변1
다양한 질문에 대한 다양한 답변
224.0.0.22~이다IGMP 멀티캐스트 주소, 로컬 네트워크를 유지하세요127.0.0.53systemdDNS 확인자 입니까?귀하
PROTO=ICMP TYPE=3 CODE=3의 발신 패킷은 "포트에 연결할 수 없음" 포트에151.80.9.69UDP 메시지를 보내려는 시도에 대한 응답10.100.102.200808310.100.102.200트래픽이 서버에 도달하려면udp/8083NAT 및 포트 전달을 통해 액세스할 수 있어야 합니다. 서비스가 실행 중이고udp/8083NAT가 시간 초과되지 않았기 때문에 더 이상 서비스를 실행하지 않더라도(단 몇 초 또는 몇 분만) 또는 NAT 계층을 통해 고정 포트 전달이 있기 때문입니다.