私のファイアウォール(iptables
)は奇妙なICMP Type 3 Code 10トラフィックを記録しています。
記録されたトラフィック(過去数ヶ月間、1日に1回、数秒間隔で4〜6個のパケット):
存在する= eth0出る=りんご=(eth0 MAC) ストライカー=(外部IPアドレス) 夏時間=(マイIPアドレス) ロンドン=72利用規約=0x00フリーク=0x00TTL=50ID=35145元気=ICMPタイプ=3パスワード=10 [ストライカー=(マイIPアドレス) 夏時間=(外部IPアドレス) ロンドン=44利用規約=0x00フリーク=0x00TTL=50ID=0DF 元気=TCPSPT=25DPT=53454窓=28200RES=0x00確認する 同期 URGP=0]
すべてのログは次を示します。(外部IPアドレス)上記のICMPパケットのみが送信されます。
他のトラフィックは次のものでは発生しません。(外部IPアドレス)同じ期間記録されました(下記のアップデートを参照)。
デフォルトでは、この国のすべてのトラフィックが記録され削除されます。(外部IPアドレス)。
これはバグかもしれませんし、欺くためのものかもしれません。(マイIPアドレス)何かを〜に移す(外部IPアドレス)、基本的にトラフィックを破棄しないと仮定するとどうなりますか?
どんな洞察力でも歓迎します。
修正する: ログ表示(外部IPアドレス)常にICMPパケットの前(各ICMPパケットの9時間前と7時間前)にポート80と443に接続してください。どちらの試みも、デフォルトのファイアウォールポリシーによって中断されました。
~によるとネットワーク-Tools.com起源(外部IPアドレス)南アジアおよび東アジア地域の中国(CN)であり、IPアドレスに関連付けられているホスト名はありません。
答え1
ICMPタイプ3コード10
これは、これがあなたに対する他のファイアウォールの応答であることを意味します。次に終わるiptablesルールがある場合:
REJECT --reject-with icmp-net-prohibited
あなたの要求がこれらの規則に準拠している場合は、コード10を受け取ります。タイプ3 ICMPパケットポートにアクセスできないことを知らせます。これはDROP
応答を送信しないため、次を生成する傾向がある後者とは異なり、正しい応答と見なされます。もっと謎を解決するために「アクセスできない」アドレスにトラフィックを送信します。1
この場合、ファイアウォールがこれを拒否する理由を見つけてルールを変更する必要があります。これにより、アプリケーションが不必要に中断される可能性があります。リストに早すぎるコンテンツが含まれているか、関連して確立されたルールがない可能性があります。
これは一種のICMP方針ですか?デフォルトでは、トラフィックを削除しないと仮定すると、(私のIPアドレス)が(外部IPアドレス)に何かを送信するようにだまされますか?
応答がないと予想されるため、可能性が低い。
1.DROP
次のように使用あいまいなセキュリティパブリックサーバーのメカニズムはまったく意味がありません。正当な攻撃者がしなければならないのはポートスキャンだけなので、そのうちの1つは何かに応答する必要があります。また、敵以外のシステム(ほとんどのシステム)に不要な追加のトラフィックや問題を引き起こします。アクセスを拒否するには、アクセスを拒否すると言えます。DROP
ローカルシステムのブロードキャストパケットのように知っていますが、無視したいトラフィックにのみこの機能を使用する必要があります。