Suposto intruso [RESOLVIDO]

1. Suposto intruso [RESOLVIDO]

shihtzu
(usa Ubuntu)

Enviado em 08/10/2021 - 16:14h

Olá, sou iniciante no Ubuntu e comecei a observar o syslog. Toda hora aparece isso (aparece diversas vezes no mesmo dia no syslog):

Oct 8 15:42:23 alex-Inspiron-3443 kernel: [19804.283359] [UFW BLOCK] IN=wlp6s0 OUT= MAC=01:00:5e:00:00:01:c0:3c:04:86:4e:4d:08:00 SRC=192.168.0.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=39723 DF PROTO=2

Significa que alguém está tentando invadir meu sistema?

Obrigado desde já.

0 0

Quote

2. MELHOR RESPOSTA

Buckminster
(usa Debian)

Enviado em 09/10/2021 - 01:07h

"SRC=192.168.0.1 DST=224.0.0.1"

SRC, fonte, IP de origem 192.168.0.1; IP de destino 224.0.0.1.
O IP 192.168.0.1 é o IP do teu roteador.
O IP 224.0.0.1 talvez seja o gateway ou o DNS do teu ISP (provedor).
O host em 192.168.0.1 está enviando uma consulta padrão ao IP 224.0.0.1.
Isso é multicast. Os roteadores multicast enviam mensagens de Consulta de Associação de Host para descobrir quais grupos de hosts têm membros em suas redes locais conectadas. As consultas são endereçadas ao grupo de todos os hosts (endereço 224.0.0.1) e carregam um tempo de vida TTL de 1.
TTL, Time To Live, o tempo de vida de uma conexão, no caso, 1 é igual a 3600 segundos, uma hora, a cada uma hora ele envia isso.

"LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=39723 DF PROTO=2"

LEN=36 Length, indica o tamanho (número de bytes) da mensagem,
incluindo o cabeçalho.
TOS são os segmentos.
TTL já foi dito.
ID é o número de identificação do pacote de dados.
DF é a fragmentação, muda de acordo com o pacote.
PROTO=2 é o protocolo IGMP.

Tu usa dyn.dns ou outro serviço de DNS dinâmico?

Ninguém está, tecnicamente, invadindo teu sistema, provavelmente é o teu provedor tentando enviar mensagens multicast, grosso modo propagandas.
Multicast é a transmissão de informação para múltiplos destinatários simultaneamente. O provedor envia isso para seus clientes.
Pesquise de onde vem o IP 224.0.0.1, dê um ping nele e um traceroute.
ping 224.0.0.1
traceroute 224.0.0.1

https://qastack.com.br/ubuntu/278964/what-could-be-the-cause-for-these-strange-ufw-block-entries-in-...

https://www.linuxquestions.org/questions/linux-security-4/problems-with-a-hacker-can-anyone-tell-me-...

https://bbs.archlinux.org/viewtopic.php?id=212452

https://www.ppgia.pucpr.br/~jamhour/Pessoal/Graduacao/Ciencia/SocketsC/UDPMULTICAST.html

________________________________________________
Always listen the Buck!
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.

1 0

Quote

3. Re: Suposto intruso [RESOLVIDO]

shihtzu
(usa Ubuntu)

Enviado em 09/10/2021 - 06:15h

Obrigado!

Sobre isto "Tu usa dyn.dns ou outro serviço de DNS dinâmico?" não sei responder. Aqui é um notebook padrão, caseiro e um roteador. Valeu pela força!

0 0

Quote

4. Re: Suposto intruso [RESOLVIDO]

msoliver
(usa Debian)

Enviado em 09/10/2021 - 19:42h

Sobre o referido IP:
224.0.0.1 todos os hosts de uma subrede
https://www.iana.org/assignments/multicast-addresses/multicast-addresses.xhtml

______________________________________________________________________
Importante:
lynx --dump https://www.vivaolinux.com.br/termos-de-uso/|sed -nr '/^[ ]+Se/,/dou.$/p'
______________________________________________________________________
Nota de esclarecimento:
O comando: ACIMA, faz parte da minha assinatura.
Att.: Marcelo Oliver
______________________________________________________________________

2 0

Quote