tcpdumpが私のIPに関連しない多くのパケットをキャプチャするのはなぜですか? (セントース7)

tag-icon tag-icon centos iptables tcpdump
tcpdumpが私のIPに関連しない多くのパケットをキャプチャするのはなぜですか? (セントース7)

Tcpdumpランチャー:

/usr/sbin/tcpdump -U -n -i eth0 icmp or tcp dst port 22 or tcp dst port

キャプチャされたデータを見ると、次のように表示されます。

132.132.211.221.40372 > 89.31.125.17.ssh: Flags [S], cksum 0xde63 (correct), seq 524121044, win 29200, length 0
146.136.44.207.4855 > 45.66.134.253.ssh: Flags [S], cksum 0x86a2 (correct), seq 1106964113, win 29200, length 0
46.228.217.79.64595 > 81.90.190.31.ssh: Flags [S], cksum 0xdf11 (correct), seq 4132328538, win 29200, length 0
109.89.72.226.19846 > 89.31.126.248.ssh: Flags [S], cksum 0xf42c (correct), seq 2627129631, win 29200, length 0
186.102.253.234.58270 > 45.146.123.96.ssh: Flags [S], cksum 0xc8a3 (correct), seq 3373229862, win 29200, length 0
139.204.89.135.64050 > 81.90.190.31.ssh: Flags [S], cksum 0x9afe (correct), seq 3997943153, win 29200, length 0
146.17.189.108.mbl-battd > 45.66.134.42.ssh: Flags [S], cksum 0xbf0e (correct), seq 1369840100, win 29200, length 0

しかし、奇妙なことは、SCRでもDSTでもなく、これらのすべてのアドレスが私のIPアドレスではないということです。これは、誰かが他の人のSSHを攻撃するために私のホストを「リレー」として使用しているという意味ですか?

参考のために、ここにiptables指標とログを投稿します。

-P FORWARD DROP
-A FORWARD -p tcp -m tcp --dport 22 -j LOG --log-prefix "[forward_ssh] "
-A OUTPUT  -p tcp -m tcp --dport 22 -m state --state NEW -j LOG --log-uid --log-prefix  "[out_ssh_new] "
-A OUTPUT  -p tcp -m tcp --dport 22 -m state --state ESTABLISHED -j LOG --log-uid --log-prefix "[out_ssh_est] "
-A OUTPUT  -p tcp -m tcp --dport 22 -j DROP

ログを見ると以下のようになります。私のIP(194.156.xxx.xxx)が他人を攻撃しているようです。

Mar 15 08:56:35 oneserver kernel: [out_ssh_est] IN= OUT=eth0 SRC=194.156.xxx.xxx DST=2.59.135.116 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=443 DPT=22 WINDOW=64240 RES=0x00 ACK SYN URGP=0
Mar 15 09:21:02 oneserver kernel: [out_ssh_est] IN= OUT=eth0 SRC=194.156.xxx.xxx DST=162.248.88.193 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=443 DPT=22 WINDOW=64240 RES=0x00 ACK SYN URGP=0
Mar 15 10:52:45 oneserver kernel: [out_ssh_est] IN= OUT=eth0 SRC=194.156.xxx.xxx DST=172.106.16.136 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=443 DPT=22 WINDOW=64240 RES=0x00 ACK SYN URGP=0

ベストアンサー1

Tcpdump は、ネットワークインターフェイスを通過するすべてのパケットを受信します。イーサネットスイッチがその役割を果たす最高MAC宛てのパケットのみを転送します。非スイッチングハブは試みずにすべてを教えてくれます。

したがって、LAN内のすべてのパケットが受信されます。一般的に、私たちは、パケットがこのように異なるIPアドレスのセットから出てくることを期待していません。ただし、IP アドレスを検索した結果、Petersburg Internet Network Ltd.所有のデータセンターにあることがわかりました。インターネットトラフィックをルーティングしますか?このトラフィックがシステムを通過するかどうか。

より安全な訓練場所を見つけてください。

おすすめ記事