[Ubuntu] Interpretacja wpisu log

Otak · 16 Luty 2018 16:30

W pliku /var/log/syslog mam poniższy wpis.

Feb 16 17:24:17 NAZWA_KOMP kernel: [586004.096063] [UFW BLOCK] IN=enp1s0 OUT= MAC=[MóJ ADRES_MAC] SRC=IP_SKĄD DST=MOJE_IP LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=38191 PROTO=TCP SPT=16088 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0

Co oznaczają w przykładzie poszczególne pola począwszy od numeru [586004.096063] do URGP?

Dzięki.

Domker · 16 Luty 2018 17:38

To komunikat, że zablokowano ruch (z firewalla UFW / cli do iptables).
IN= urządzenie sieciowe
DST= ip docelowe
SPT = port źródłowy
DPT = port docelowy itd…

Jednym słowem coś/ktoś próbowało się połączyć z usługą telnet na twoim komputerze (port 23), a firewall to zablokował.

marcin82 · 16 Luty 2018 17:48

Możesz pokazać wynik polecenia z konsoli?

sudo lsof -Pi4

Otak · 16 Luty 2018 18:17

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
dhclient 1270 root 6u IPv4 11593 0t0 UDP *:68
avahi-dae 1461 avahi 12u IPv4 11880 0t0 UDP *:5353
avahi-dae 1461 avahi 14u IPv4 11882 0t0 UDP *:56659
sshd 1478 root 3u IPv4 14918 0t0 TCP *:sshdPORT (LISTEN)
openvpn 1492 nobody 6u IPv4 14101 0t0 UDP *:1194
xrdp 1656 xrdp 6u IPv4 18693 0t0 TCP *:3389 (LISTEN)
xrdp-sesm 1672 root 6u IPv4 15638 0t0 TCP localhost:3350 (LISTEN)
master 15198 root 12u IPv4 4543714 0t0 TCP *:25 (LISTEN)
cupsd 22672 root 11u IPv4 4913945 0t0 TCP localhost:631 (LISTEN)
cups-brow 22675 root 8u IPv4 4919766 0t0 UDP *:631
sshd 31356 root 3u IPv4 5316429 0t0 TCP myVPNprovider:sshdPORT->my_IP:50410 (ESTABLISHED)
youtube-d 31468 root 3u IPv4 5325679 0t0 TCP myVPNprovider:58222->waw02s07-in-f174.1e100.net:443 (ESTABLISHED)

marcin82 · 16 Luty 2018 19:54

Nie ma się czym martwić. Działający “pod spodem” ufw został tak napisany, a nie inaczej żeby logować wszystko, niezależnie od tego … czy na danym porcie slucha rzeczywista usługa.

Możesz skonstruować skrypt iptables, a z ufw/gufw się pożegnać, ale to już twój wybór.

Otak · 17 Luty 2018 07:48

Dzięki za wypowiedzi.

roobal · 17 Luty 2018 17:13

To nie numer, to godzina w sekundach. Polecenie dmesg też pokazuje czas w sekundach, gdy użyjesz przełącznika -T pokaże Ci czas przyjazny dla ludzi, tj. dzień, miesiąc, rok, godzinę. Reszta to interfejs wejściowy (którym wszedł pakiet), interfejs wyjściowy (którym wyszedł pakiet), adres IP źródłowy, adres docelowy, długość nagłówka pakietu IP, TypeOfService, długość życia pakietu (TTL), jego ID, port źródłowy, port docelowy, protokół wartswy transportowej, wielkość okna ramki, flaga pakietu TCP.