调查受感染的 Linux 服务器

信息安全 linux icmp
2021-08-29 01:45:12

我正在调查一台全天对互联网上的随机 IP 进行 ping 操作的服务器。我设置了 IPtables 来记录和丢弃(输入和输出)数据包,但我仍然在网络防火墙上看到 icmp 流量。我似乎无法跟踪启动这些的过程。

查看了很多关于使用 tcp/upd 端口的网络流量的问题,但 icmp 不使用端口。

找出什么 Linux 软件试图打电话回家

https://unix.stackexchange.com/questions/306524/monitor-which-application-generate-icmp-ping-traffic

我试过 iptables、tcpdump、lsof 和 netstat。我可能没有正确使用它们,或者很难追踪快速 icmp 数据包。

Red Hat Linux 5.x VM,我无法升级,因为它运行旧网页

这是IP 列表的pastebin链接

Chain OUTPUT (policy ACCEPT 2129K packets, 1555M bytes) pkts bytes target prot opt in out source destination 2834 248K LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 8 level 4 2834 248K DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0

Dec  6 14:51:41 xx kernel: IN=eth0 OUT= MAC=00:0c:29 SRC=72.204.209.197 
DST=x LEN=96 TOS=0x00 PREC=0x00 TTL=252 ID=29693 PROTO=ICMP TYPE=3 CODE=13 
[SRC=x DST=192.168.224.161 LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=56354 DF PROTO=TCP SPT=53646 DPT=17778 WINDOW=5840 RES=0x00 SYN URGP=0 ]
1个回答

鉴于上述日志片段中的一个数据包,您的系统不会“ping”互联网上的随机 IP。“Pinging”指的是 ICMP 类型 8,即回显请求。仔细看包:

PROTO=ICMP TYPE=3 CODE=13

类型 3 是无法到达的目的地( RFC792 ),代码 13 是管理上禁止的通信( RFC1812 )。因此,这意味着您的服务器没有与远程主机联系,而是发送这些 ICMP 消息以响应到达它的某些流量,它似乎拒绝转发。如果没有看到提示这些控制消息的流量,就很难确切地知道发生了什么。我建议您在这些 ICMP 消息之前查找具有匹配地址的异常流量。

其它你可能感兴趣的问题
上一篇cloudflare 如何在没有私钥的情况下读取加密请求? 下一篇防病毒软件和 IPS 有什么区别?