안녕하세요…
우분투 서버를 설치해서 UFW 방화벽을 실행하면 syslog에 아래의 메세지가 계속 저장되네요…
이게 구체적으로 무슨뜻이죠??
Apr 20 10:48:41 login kernel: [1355750.644822] [UFW BLOCK] IN=eth0 OUT= AC=90:2b:34:11:81:f5:00:05:70:55:05:d0:08:00 SRC=180.xxx.xxx.181 DST=203.xxx.xxx.8 LEN=52 TOS=0x00 PREC=0x00 TTL=49 ID=20475 DF PROTO=TCP SPT=58097 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0
Apr 20 10:48:47 login kernel: [1355756.682985] [UFW BLOCK] IN=eth0 OUT= MAC=90:2b:34:15:81:f5:05:07:70:50:07:d5:08:00 SRC=180.xxx.xxx.181 DST=203.xxx.xxx.8 LEN=52 TOS=0x00 PREC=0x00 TTL=49 ID=21514 DF PROTO=TCP SPT=58097 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0
[quote="dizi1942":31v1g9u8]
Apr 20 10:48:41 login kernel: [1355750.644822] [UFW BLOCK] IN=eth0 OUT= AC=90:2b:34:11:81:f5:00:05:70:55:05:d0:08:00 SRC=180.xxx.xxx.181 DST=203.xxx.xxx.8 LEN=52 TOS=0x00 PREC=0x00 TTL=49 ID=20475 DF PROTO=TCP SPT=58097 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0 [/quote:31v1g9u8]
IN=eth0
eth0를 통해서 들어온
AC=90:2b:34:11:81:f5:00:05:70:55:05:d0:08:00 SRC=180.xxx.xxx.181 DST=203.xxx.xxx.8 LEN=52 TOS=0x00 PREC=0x00 TTL=49 ID=20475 DF PROTO=TCP SPT=58097 DPT=135 WINDOW=60352 RES=0x00 SYN URGP=0
의 정보를 가진 패킷을
[UFW BLOCK]
UFW가 파기 처리했다는 뜻입니다.
IP주소 180.xxx.xxx.181의 58097번 포트에서 출발하여
203.xxx.xxx.8의 135번로 향하는 패킷을 차단하였다는 것이로군요.
135번 포트는 윈도우즈RPC에서 사용되는 포트로 DCOM등에서도 사용되는데…
윈도우즈 운영체제를 사용하는 컴퓨터에 공격할때에도 사용될 수 있기 때문에 자동으로 차단하는가 봅니다.