- 締切済み
Linuxからのメッセージ
お世話になります。 Linuxのサーバーを管理している者ですが最近なり 画面をつけると下記のようなログがでてくるようになりました。 Suspect TCP fragment eth=0 PROTO=6 他ネットワークのIPアドレス:0 自ネットワークのIPアドレス:0 L=40 S=0x00 I=O F=0x0001 T=247(#0) suspectとfragmentという文字から、断片化したパケットが飛んできている ような気がするのですが、このメッセージはいったい なにを意味しているのでしょうか。また、このメッセージをなくすためには どのような対処をすればよいのでしょうか。 よろしくお願いします。
- nabio
- お礼率100% (2/2)
- その他(インターネット接続・通信)
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- ranx
- ベストアンサー率24% (357/1463)
侵入できる所を探しているんじゃないでしょうか。
- akino4
- ベストアンサー率18% (35/185)
翻訳すると”怪しげなTCP断片がきとるばい”ってことになります 多分、誰かがあなたのマシンに侵入を試みているか、(ファイヤーウォールを くらませるのにそのような不正なパケットを投げる方法があるが、現在では 多くのOSがデフォルトでそのようなパケットが来ると警告を出す) あなたのネットワークにウイルスやトロイの木馬がしかけられてるのかも しれません。とりあえず出元を探しましょう。 インターネット上からきてるのなら。どっかのチューボーがなんか 古いツールで猿になっちょるばいってことで(笑)
お礼
Suspect=容疑者(?) fragment=断片化 というところでしょうか(^_^;) さきほどからさっそくトロイの検出とウィルス検索を おこなっています。サーバーがたくさんあるので大変ですが そうもいってられませんね。 ありがとうございます。
関連するQ&A
- RedHat9 Linux のDNSサーバのログが不正アクセスでないかどうか教えて欲しいです
RedHat9 Linux でサーバを構築しています。(DMZも使用しています) ファイアーウォールとしてiptables を使用しています。 下記のようなログがよく出ます。大丈夫でしょうか? aaa.bbb.cc.dd1 ~ aaa.bbb.cc.dd8 まで8個のIPを取得しています。 不審なIPは、123.456.789.123 です。 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57180 DF PROTO=TCP SPT=2987 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd5 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57182 DF PROTO=TCP SPT=2989 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57183 DF PROTO=TCP SPT=2991 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd7 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57184 DF PROTO=TCP SPT=2992 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
- 締切済み
- Linux系OS
- Linuxによるサーバの冗長化
現状、Linux(Fedora)によるサーバを単体で構成していますが、障害時の対策として、本サーバを2台で構成し、サーバの冗長化(ucarpによる冗長化)を検討しています。 単体構成時のネットワークインタフェース(eth0)のIPアドレスには、グローバルIPアドレスを設定しており、冗長化にあたり、このグローバルIPアドレスを仮想IPアドレス(eth0:1)として運用を検討しています。 わからないのが、仮想IPアドレス(eth0:1)はグローバルIPアドレスを割り当てることになりますが、実IPアドレス(eth0)にはグローバルIPアドレスと同じクラスを割り当てないといけないのでしょうか? というのも、空いているグローバルIPアドレスもないので、ネットワークの構成上どうなるか不透明であります。 それとも、プライベートアドレスをうまく利用して技術的にカバーできますでしょうか? 誠に初歩的なご質問で申し訳ございませんが、ご教示の程よろしくお願い致します。
- ベストアンサー
- ネットワーク
- Linuxサーバに社内からSSH接続をすると、決まった会社のIPがとれます。大丈夫でしょうか?
RedHat9 Linux でサーバ兼ルータを構築しています。(DMZも使用しています) (WAN側 ppp0 、DMZ側 eth1、LAN側 eth2) iptables の設定として、 # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios としていました。(今はログが多くなるということでやめようと思っています) 社内PCからサーバにSSHでログインすると、必ず、下記のようなログが出ます。 (私のPCはIP 192.168.*.* ) May 26 15:00:00 ns kernel: ### NetBIOS ###IN=eth2 OUT=ppp0 SRC=192.168.*.* DST=aaa.bbb.cc.dd LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=**** DF PROTO=TCP SPT=1335 DPT=139 WINDOW=**** RES=0x00 SYN URGP=0 DST=aaa.bbb.cc.dd というIPは、知らない会社のIPです。 これはなにか悪さをされているということでしょうか?
- 締切済み
- Linux系OS
- linuxについて
linuxを使って外部サイトへpingを実行して返事が帰ってこないのですが 原因はなんでしょうか? eth0ネットワーク設定は下記の通りです [root@centos ~]#vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE="eth0" HWADDR="xx:xx:xx:xx:xx:xx" TYPE=Ethernet NM_CONTROLLED="yes" ONBOOT="yes" BOOTPROTO=static IPADDR=192.168.1.30 NETMASK=255.255.255.0 GATEWAY=192.168.1.1 DNS1=192.168.1.1 実はこの時、ONBOOTから下は参考サイトをただコピーしただけです 本来ここには自分のIPアドレス等を入れるべきなのでしょうか? また、そうだとしたらどうやってIPアドレス等を調べたらいいですか?
- ベストアンサー
- Linux系OS
- パケットの流れが指定先と違う?
気になったのですが。 linuxサーバのeth0とeth1に異なるグローバルIPアドレスが振り、 iptablesで両方のsshへのアクセスを許可しているのですが、 sshの通信でどちらのIPアドレスを指定してもパケットがeth0側に流れるようなのです、これはなぜでしょうか? クライアントはteratermを使用しており、パケットの確認には、 tcpdump -i eth0又はeth1 port 22を使用しております。 GATEWAYDEVはファイルで明示的に指定しておりません。
- 締切済み
- その他(ITシステム運用・管理)
- linuxによるファイヤーウォールの設定
linuxによるファイヤーウォールの設定 はじめまして. 172.16.1.150以外のアドレスからポート番号22を介して172.16.0.100に入ってきたパケットを破棄するということをやりたくて以下の様なコマンドを打ち込みました. # /sbin/iptables -A INPUT -p tcp -s ! 172.16.1.150 --dport 22 -d 172.16.0.100 -i eth0 -j DROP しかし,その結果172.16.1.150からでもそのアドレス以外からでもアクセスが不可能になってしまいました.コマンドの誤りや解決策が分かる方がいらっしゃいました教えてください.よろしくお願いします
- ベストアンサー
- ネットワーク
- Linuxルータの構築
CentOS5.4にて、Linuxルータを構築しようと考えています。 そこで、NICを新たに1枚購入して構築を進めているのですが、うまくいきません。 ネットワークの構成は、 外部 ------ ルータ(192.168.1.1)--(192.168.1.5)linuxルータ(192.168.2.1)--クライアント(192.168.2.3) 設定方法は、CentOSのGUIで行ったもので、外部側 (eth0)は 上記のipとデフォルトゲートウェイ(192.168.1.1)を設定し、内部側(eth1)は、上記のipとデフォルトゲートウェイに(192.168.1.5)を設定しています。 そして、iptablesには、 ----- setiptables.sh ----- external_ip='192.168.1.0/24' internal_ip='192.168.2.0/24' my_external_ip='192.168.1.5' my_internal_ip='192.168.2.1' eth_external='eth0' eth_internal='eth1' iptables -t filter -F iptables -t nat -F iptables -t mangle -F iptables -t filter -X iptables -t nat -X iptables -t mangle -X iptables -t nat -A POSTROUTING -o $eth_external -s $internal_ip -j MASQUERADE iptables -t nat -A POSTROUTING -o $eth_internal -s $external_ip -j MASQUERADE --------- このように設定しています。 この環境でクライアントからpingしてみたところ、192.168.1.5には到達できるのですが、外部には到達することができません。 つたない説明で申し訳ありませんが、アドバイス頂ければ幸いです。 分かりにくいところがあれば言っていただければ、補足説明させていただきます。 よろしくお願いします。
- ベストアンサー
- Linux系OS
- Vine Linux でのインターネット接続方法を教えてください。
[環境] ・Vine Linuxのバージョンは4.2 ・プロバイダはYahooBB(DHCPでIPアドレスを取得する方式)を使用しております。 GNOMEの「ネットワーク管理」から接続の種類にDHCPを選択し、設定を有効にしようとすると下記のエラーメッセージが表示され、DHCP接続を設定することができません。 [エラーメッセージ] 「インターフェースeth0を有効にできませんでした このネットワークに対する設定が適切であるか、そして コンピュータに正しく接続されているか確認して下さい」 ご回答をいただけますよう、お願いいたします。
- ベストアンサー
- Linux系OS
- iptablesによるルーティング
eth0とeth1があり、それぞれ異なるサブネットマスクのネットワークがあります。 デフォルトゲートウェイがeth1側に設定されていてeth0からきたパケットが戻ってきません。 これをiptablesにてeth0から入ってきたパケットはeth0へ返す、eth1から入ってきたパケットはeth1へ返すということがしたいのですが、わかりません。 ちなみにIPアドレスがころころかわるので、スタティックルートに追加する方法以外でiptablesにインターフェースを指定するような形が理想です。
- 締切済み
- Linux系OS
- 1台で複数セグメント持つ際の設定(Linux)
1台のLinuxサーバに、NICを2つ搭載し、それぞれ別のネットワークセグメントを想定した場合の設定方法を教えてください。 異なるネットワークセグメントを持つことから、ホスト名、IPアドレス、デフォルトゲートウェイもそれぞれ異なります。 /etc/sysconfig/networkには、HOSTNAME と GATEWAY の設定が必要だと思いますが、/etc/sysconfig/network の定義ファイルは2つ必要なのでしょうか。 /etc/sysconfig/network-scripts/ifcfg-eth[] は、ifcfg-eth0とifcfg-eth1 を作成することが必要だと考えてます。 /etc/sysconfig/networkを2つ(??)作成する必要があるのかどうか、わかりません。 【OS】 Red Hat Enterprise Linux 5.6
- ベストアンサー
- Linux系OS
お礼
Portscanについて勉強になりました。 これをもとにだされるログを 調べてみたいとおもいます。