次のログエントリイベント中に何が起こりましたか?
Nov* 8 09:37:12 kernel: [10967.520783] New Input packets: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.1.2 DST=192.168.1.2 LEN=85 TOS=0x00 PREC=0xC0 TTL=64 ID=6855 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.2 DST=192.168.1.1 LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=60616 DF PROTO=UDP SPT=49662 DPT=53 LEN=37 ]
Nov* 8 09:38:13 kernel: [11029.272652] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
1. 最初の例で角かっこを使用したのはなぜですか?
角かっこ内の数字は意味とその理由が異なります。
MACアドレスの終わりの08:00とはどういう意味ですか?
2番目の例では、マルチキャストアドレスと0.0.0.0アドレスの役割は何ですか?
なぜTTL=1なのか
ありがとうございます!
ベストアンサー1
Nov* 8 09:37:12 kernel: [10967.520783] New Input packets: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.1.2 DST=192.168.1.2 LEN=85 TOS=0x00 PREC=0xC0 TTL=64 ID=6855 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.2 DST=192.168.1.1 LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=60616 DF PROTO=UDP SPT=49662 DPT=53 LEN=37 ]
[10967.520783]
メッセージが生成された時点のカーネル稼働時間(秒単位)。最初に、これはカーネルログメッセージの最初の部分です。しかし、メッセージは他のもの(おそらくsyslogデーモン?)によって処理されているようです。このメッセージは、人間が読めるタイムスタンプを先頭に追加し、kernel:
メッセージがアプリケーションまたはサービスによって記録されたのではなく、オペレーティングシステムのカーネルによって記録されたことを示します。 。
このログメッセージは、ループバックインターフェイス()を介してNetfilterに到着するパケットを説明しているため、IN=lo
実際のイーサネット層が含まれていないため、送信元と宛先のMACアドレスの両方がゼロです。08:00
文字列の終わりは次MAC=
のようになります。エーテル型、下位層パケットの「ペイロード」に IPv4 パケットが含まれていることを示します。
送信元と宛先のIPアドレスはどちらも192.168.1.2なので、パケットはホスト192.168.1.2でローカルに生成されたようです。 IPv4パケットのペイロードにはICMPパケットタイプ3、コード1- つまり、「ホストに接続できません」エラーパケット。
エラーメッセージが送信された原因を特定できない場合、エラーメッセージは意味がありません。したがって、ICMPエラーパケットには、エラーを検出した元のパケットのヘッダーが含まれています。これらのヘッダーは角かっこ内にデコードされます。
[SRC=192.168.1.2 DST=192.168.1.1 LEN=57 TOS=0x00 PREC=0x00 TTL=64 ID=60616 DF PROTO=UDP SPT=49662 DPT=53 LEN=37 ]
したがって、エラーメッセージを生成するパケットはHost unreachable
このホスト(192.168.1.2)で開始され、宛先は192.168.1.1です。プロトコルはUDPで、宛先UDPポートは標準DNSポートである53です。したがって、ホストには、192.168.1.1をDNSサーバーとして使用するように指示するいくつかの構成(手動またはDHCPを介して)が明らかにあります。しかし、UDPパケットを192.168.1.1のDNSサーバーに送信しようとしたときに問題が発生しました。カーネルがネットワーク切断を検出したか、カーネルが192.168.1.1のMACアドレスを見つけるためにARP要求を発行しようとしましたが、応答を受け取らなかった可能性があります。したがって、カーネルはICMPエラーパケットを生成し、ループバックインタフェースを介してローカルに送信します。
Nov* 8 09:38:13 kernel: [11029.272652] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
タイムスタンプの合計の解釈はkernel:
最初のメッセージと同じです。
このメッセージは、ワイヤレスネットワークインターフェースを介して着信パケットを説明しますwlo1
。文字列がレイヤ2イーサネットパケットの先頭の最初の14バイトであると仮定すると、MAC=
宛先MACアドレス(=おそらくこのホストのMACアドレス)は次のようになりますb8:81:98:cb:ef:a8
。一人によるとMACアドレスクエリウェブサイト、このMACはIntelによって製造されたネットワークアダプタ(または他のデバイス)に属します。
ソースMACアドレスはです5c:77:77:6e:0d:7b
。ベンダー検索でこの住所に関する情報を公開できませんでした。
両方のMACアドレスは、正規でグローバルに一意のユニキャストMACアドレスです。パケットにマルチキャストIPアドレスが含まれているため、これは驚くべきことです。これは、Wi-Fiネットワークでマルチキャストメッセージが処理される方法によって発生する可能性があります。
再び08:00
Ethertypeとして、普通の古いIPv4を意味します。
宛先IPアドレス224.0.0.1は、標準の「すべてのホスト」マルチキャストアドレスです。インターネット全体にわたってすべてのマルチキャスト対応システムにパケットを送信することは意味がありませんので、TTL=1
このマルチキャストを単一のサブネット内のすべてのホストに限定してください。
PROTO=2
これがあることを示します。IGMP(インターネットグループ管理プロトコル)パケット:マルチキャストルーターとマルチキャスト可能システムはこれらのパケットを使用して、各マルチキャスト可能システムが参加するマルチキャストグループを見つけます。 (各マルチキャスト可能ホストは常にすべてのホストグループの一部です。)このメッセージのIGMPデータはデコードされませんが、IPパケットの長さは32オクテット(LEN=32
)にすぎないため、これはIGMPv2一般メンバーシップクエリパケットである可能性が高いです。
デフォルトでは、マルチキャスト対応ルータはすべてのマルチキャスト対応システムにマルチキャストトラフィックを受信したいかどうかを報告するように要求します。