29. November 15:17:15 Hostname-Kernel: [397768.554884] [UFW-BLOCK] IN = eth0 OUT = MAC = [mac] SRC = [ip] DST = [ip] LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 52 ID = 17050 PROTO = TCP SPT = 56152 DPT = 80 WINDOW = 65535 RES = 0x00 ACK FIN URGP = 0
Soweit ich weiß, gab es eine Anfrage an Port 80, die blockiert wurde. Die meisten Nachrichten haben DPT=80.
Was seltsam ist, da Port 80 für Unternehmen geöffnet ist und Websites wie nie zuvor bedient. Was fehlt mir hier?
Beachten Sie, dass für Ihr Paket sowohl die FIN- als auch die ACK-Bits gesetzt sind. Dies ist das letzte Paket, das der Remote-Host in der TCP-Prozedur zum Herunterfahren (Ende der Verbindung) sendet.
Wenn Ihr Host das Senden beendet hat, setzt er die FINund ACK-Flaggen für das letzte Paket. Die Remote-Hosts senden ein Paket mit ACKset, gefolgt von einem Paket mit FINund ACKset.
Local remote
FIN ACK ---->
<---- ACK
<---- FIN ACK (?optional?)
ACK ----->
In der Praxis werden die Fernbedienungen FIN ACKals optional betrachtet, sodass die Netfilter-Firewall ihre Verbindungstabelle leert, wenn sie sieht, ACKdass beim FIN ACKEintreffen des Pakets keine Verbindung zugeordnet ist und verworfen wird.