web-dev-qa-db-ja.com

サーバーの着信パケット

外部からのパケットのiptablesロギングを有効にしました

-A INPUT ! -s 192.168.218.0/24 -j LOG

現在、不明なアドレスからの着信パケットがたくさん表示されています

Jun  5 14:54:56 localhost kernel: [572504.888953] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49833 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572504.916382] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49834 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572504.916425] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1000 TOS=0x00 PREC=0x00 TTL=55 ID=49835 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK PSH URGP=0 
Jun  5 14:54:56 localhost kernel: [572505.051902] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49836 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572505.184949] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=49837 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK FIN URGP=0 
Jun  5 14:55:05 localhost kernel: [572513.916617] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=29430 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK FIN URGP=0 
Jun  5 14:55:14 localhost kernel: [572523.037537] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK URGP=0 
Jun  5 14:55:35 localhost kernel: [572544.026368] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
Jun  5 14:55:35 localhost kernel: [572544.149415] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=451 TOS=0x00 PREC=0x00 TTL=52 ID=20682 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK PSH URGP=0 
Jun  5 14:55:50 localhost kernel: [572559.133253] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=20683 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK FIN URGP=0

ルーター(ssh 22およびopenvpn 1194)からのすべてのポート転送を無効にしたので、これらのパケットがどのように192.168.218.101ボックス(私のコンピューターは「localhost」と呼んでいる)に到達しているのか理解できません。

私はこれらのパケットを調査するためにtcpdumpを追加してみました

Sudo tcpdump "(dst net 192.168.218.0/24 and ! src net 192.168.218.0/24)"

しかし、それは単一行の出力を返しません

これらのパケットがルーターを通過する理由は何ですか?ルーターはホームD-Link Dir-600です。ポート転送を無効にし、ファイアウォールルールはありません。DMZ無効

これらのパケットのペイロードが何かを知るために、どのような診断を行うことができますか? tcpdumpが何も表示しないのはなぜですか?

networkfirewallsrouting
5
lurscher

ソースアドレスは完全に不明ではありません。最初のアドレスはcanonical.comからのもので、Ubuntuパッケージをホストします(したがって、システムはUbuntuを実行しており、現在、インストールされているパッケージに利用可能な更新があるかどうかを確認しようとしています)。 2番目のアドレスはstackoverflow.comで、これらの部分で有名なサイトです。ほとんどの場合、これらのパケットは、コンピュータからインターネット全体へのclient接続の一部であり、ルーターが実行されます [〜# 〜] nat [〜#〜] (これが主な仕事です)。ポート転送は着信接続用です(外部からシステムへ)。

ログは、パケットがeth1ネットワークアダプターを通過することを示しています。 Linuxシステムでは、これはsecondアダプターで、最初のアダプターはeth0です(おそらく、イーサネットインターフェイスとWiFiアダプターがあります) 、および後者を使用します)。 tcpdumpはデフォルトでeth0を使用します。これにより、パケットが表示されない理由が説明されます。 tcpdump-iオプションを使用してみてください(manページを参照)。

10
Thomas Pornin

@Thomasの応答に追加するだけです。そのキャプチャで取得したパケットは、いくつかの理由で、マシンからの要求に対する応答であるように見えます。

ポート。送信元ポート80宛先ポート[高範囲の何か]があります。これは、マシンからWebサーバーへの接続の一般的なパターンです(したがって、これらのパケットは応答である可能性があります)。

また、TCPフラグ。指定されているACKフラグは通常、誰かが人工的なトラフィックを生成していないと想定して)TCP接続の進行中の部分です。接続が新しいもの(通常、誰かがマシンで実行されているサービスに接続しようとした場合)には、SYNフラグが設定されています。

6
Rory McCune