우분투 22.04에서 핑 테스트:
Host A IPv6: 1111:1111:1111:1111:1111:1111:1111:1111
Host B IPv6: 2222:2222:2222:2222:2222:2222:2222:2222
호스트 A:
이제 다음 bash 명령을 사용하여 호스트 A에서 ping을 실행합니다.
root@host_a:~# ping -6 2222:2222:2222:2222:2222:2222:2222:2222
호스트 B:
iptables는 일부 패킷을 삭제하고 이를 파일에 기록합니다.
12월 7일 18:21:52 host_b 커널: [ 988.996335] 삭제된 출력: IN= OUT=ens33 SRC=192.168.1.1 DST=192.168.2.1 LEN=83 TOS=0x00 PREC=0x00 TTL=64 ID=52289 PROTO=UDP SPT =41151 DPT=53 LEN=63 UID=113 GID=118
12월 7일 18:21:52 host_b 커널: [ 988.998359] 출력 삭제: IN= OUT=ens33 SRC=2222:2222:2222:2222:2222:2222:2222:2222 DST=1111:1111:1111:1111:1111: 1111:1111:1111 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 유형=136 코드=0
12월 7일 18:21:53 host_b 커널: [ 990.001075] 출력 삭제: IN= OUT=ens33 SRC=2222:2222:2222:2222:2222:2222:2222:2222 DST=1111:1111:1111:1111:1111: 1111:1111:1111 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 유형=136 코드=0
에는 및 정보 first log line가 있습니다 .UIDGID
UID=113 GID=118
다음 방법을 사용하여 사용자를 찾을 수 있습니다.
root@host_b:~# cat /etc/passwd | grep 113
그러나 2nd및 행의 경우 로그에 또는 3rd항목이 없습니다 .UIDGID
질문:
다음 네트워크 패킷을 보내는 프로그램을 찾는 방법은 무엇입니까?
PROTO=ICMPv6 TYPE=136 CODE=0
메모:iptables 로그를 기반으로 이 "알 수 없는" 프로그램은 들어오는 ICMPv6 패킷을 수락한 다음 나가는 ICMPv6 패킷을 보냅니다. 그러나 iptables는 패킷이 규칙에 의해 드루프될 때 해당 "알 수 없는" 프로그램의 UID 및 GID를 기록할 수 없습니다.
답변1
보다이웃 발견 프로토콜차단된 ICMP 메시지는 ipv6 스택에 속합니다. 그들을 차단하는 것은 좋은 생각이 아닙니다. 커널의 일부인 스택, 사용자 프로세스 없음. 사용자 프로세스의 UID/GID가 없습니다.