내 방화벽( iptables)은 이상한 ICMP 유형 3 코드 10 트래픽을 기록하고 있으며 이 트래픽을 이해하고 싶습니다(구체적으로 이것이 일종의 공격일 수 있는지 또는 어떻게 될 수 있는지).
기록된 트래픽(지난 몇 달 동안 하루에 한 번, 몇 초 간격으로 4~6개의 패킷):
존재하다=eth0나가=사과=(eth0 MAC) 스트라이커=(외부 IP 주소) 여름 시간=(내 IP 주소) 런던=72서비스 약관=0x00프리크=0x00TTL=50ID=35145원기=ICMP유형=3암호=10 [스트라이커=(내 IP 주소) 여름 시간=(외부 IP 주소) 런던=44서비스 약관=0x00프리크=0x00TTL=50ID=0DF 원기=TCPSPT=25DPT=53454창문=28200RES=0x00확인하다 동기화 URGP=0]
모든 로그는 다음을 나타냅니다.(외부 IP 주소)위의 ICMP 패킷만 전송됩니다.
다른 트래픽은 다음에서 발생하지 않습니다.(외부 IP 주소)같은 기간 동안 기록되었습니다(아래 업데이트 참조).
기본적으로 이 국가의 모든 트래픽이 기록되고 삭제됩니다.(외부 IP 주소).
이건 버그일 수도 있고, 속이기 위한 것일 수도 있습니다.(내 IP 주소)무언가를 ~로 옮기다(외부 IP 주소), 기본적으로 트래픽을 삭제하지 않는다고 가정하면 어떻게 될까요?
어떤 통찰력이라도 환영합니다.
고쳐 쓰다: 로그 표시(외부 IP 주소)항상 ICMP 패킷 이전(각각 ICMP 패킷 9시간 및 7시간 전)에 포트 80 및 443에 연결하십시오. 두 시도 모두 기본 방화벽 정책에 의해 중단되었습니다.
~에 따르면네트워크-Tools.com기원(외부 IP 주소)남아시아 및 동아시아 지역의 중국(CN)이며 IP 주소와 연결된 호스트 이름이 없습니다.
답변1
ICMP 유형 3 코드 10
이는 이것이 귀하에 대한 다른 방화벽의 응답임을 의미합니다. 다음으로 끝나는 iptables 규칙이 있는 경우:
REJECT --reject-with icmp-net-prohibited
귀하의 요청이 이러한 규칙을 준수하는 경우 코드 10을 받게 됩니다.유형 3 ICMP 패킷포트에 접근할 수 없음을 알려줍니다. 이는 DROP응답을 보내지 않아 다음을 생성하는 경향이 있는 후자 와 달리 올바른 응답으로 간주됩니다.더미스터리를 해결하기 위해 "접근할 수 없는" 주소로 트래픽을 보냅니다. 1
이 경우 방화벽이 이 작업을 거부하는 이유를 찾아 규칙을 수정해야 합니다. 이로 인해 애플리케이션이 불필요하게 중단될 수 있습니다. 목록에 너무 이른 내용이 있거나 관련 있고 확립된 규칙이 없을 수도 있습니다.
이것은 일종의 ICMP 정책입니까? 기본적으로 트래픽을 삭제하지 않는다고 가정하면 (내 IP 주소)가 (외부 IP 주소)로 무언가를 전송하도록 속일 수 있습니까?
응답이 없을 것으로 예상되므로 가능성이 낮습니다.
1. DROP다음과 같이 사용됨모호한 보안공용 서버의 메커니즘은 전혀 의미가 없습니다. 합법적인 공격자가 해야 할 일은 포트 스캔뿐이므로 그 중 하나는 무언가에 응답해야 하며 그렇지 않으면 공용 서버가 아닙니다. 또한 적군이 아닌 시스템(대부분의 시스템)에 불필요한 추가 트래픽과 문제를 발생시킵니다. 액세스를 거부하려면 액세스를 거부한다고 말하면 됩니다. DROP로컬 시스템의 브로드캐스트 패킷과 같이 알고 있지만 무시하려는 트래픽에만 이 기능을 사용해야 합니다 .