Cosa significano le voci del registro di controllo di UFW?

10

A volte ricevo molte di queste voci di registro AUDIT in

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Qual è il significato di questo? Quando si verificano e perché? Dovrei e posso disabilitare queste voci specifiche? Non desidero disabilitare la registrazione UFW, ma non sono sicuro che queste linee siano utili.

Si noti che questo non si verifica effettivamente in /var/log/ufw.log . Si verifica solo in /var/log/syslog . Perché è così?

Altre informazioni

  • la mia registrazione è impostata su media: Logging: on (medium)
posta Tom 28.05.2012 - 19:24

3 risposte

3

Imposta la tua registrazione su low per rimuovere i messaggi AUDIT .

Lo scopo di AUDIT (da quello che sto vedendo) è legato alla registrazione non predefinita / raccomandata - tuttavia, è un'ipotesi, e non riesco a trovare nulla di concreto con quello.

    
risposta data jrg 28.05.2012 - 19:43
7

Questo dipende dalla linea. Di solito, è Campo = valore.

C'è IN, OUT, l'interfaccia in entrata, o in uscita (o entrambi, per pacchetti appena inoltrati.

Alcuni di questi sono:

  • TOS , per tipo di servizio,
  • DST è ip di destinazione
  • SRC è ip sorgente
  • TTL è il momento di vivere, un piccolo contatore decrementato ogni volta che un pacchetto viene passato attraverso un altro router (quindi se c'è un ciclo, il pacchetto si distrugge da solo una volta a 0)
  • DF è il bit "do not framment", che richiede di non frammentare il pacchetto quando viene inviato
  • PROTO è il protocollo (principalmente TCP e UDP)
  • SPT è la porta di origine
  • DPT è la porta di destinazione

ecc.

Dovresti dare un'occhiata alla documentazione TCP / UDP / IP, dove tutto è spiegato in modo più dettagliato che potrei mai fare.

Prendiamo il primo, il che significa che 176.58.105.134 ha inviato un pacchetto UDP sulla porta 123 per 194.238.48.2. Questo è per ntp . Quindi immagino che qualcuno provi ad usare il tuo computer come un server ntp, probabilmente per errore.

Per l'altra linea, è curioso, questo è il traffico sull'interfaccia loopback (lo), cioè che non sta andando da nessuna parte, va e viene dal tuo computer.

Vorrei verificare se qualcosa è in ascolto sulla porta tcp 30002 con lsof o netstat .

    
risposta data Misc 28.05.2012 - 19:45
1

Oltre a ciò che è stato detto, è anche possibile dedurre ciò che verrà registrato controllando le regole iptables . In particolare, le regole di corrispondenza che vengono registrate possono essere filtrate come sudo iptables -L | grep -i "log" :

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Quelle sono per la maggior parte delle regole predefinite. Ispezionando l'output in alto rivela le catene ufw-before-* per generare i registri [UFW AUDIT ..].

Non sono un grande esperto di iptables e il manuale UFW non è molto utile su questo, ma per quanto posso dire le regole che corrispondono a questa catena siedono in / etc / ufw / before.rules .

Ad esempio le linee sottostanti stanno consentendo connessioni loopback che potrebbero aver attivato le ultime due righe di esempio nel tuo log (quelle che iniziano con [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Per quanto mi riguarda, ricevo molti pacchetti LLMNR registrati sulla porta 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126 

Quali penso siano causati da quanto segue in rules.before :

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Un modo per disattivarli è accendere quanto segue:

sudo ufw deny 5353
    
risposta data Sebastian Müller 18.03.2018 - 18:08

Leggi altre domande sui tag