Вопрос или проблема
Я смотрю на атаку GRE против моей системы (https://nvd.nist.gov/vuln/detail/CVE-2022-20946), мой ввод выглядит следующим образом:
4,,,1000000103,mvneta0,match,block,in,4,0x0,,50,50087,0,DF,47,gre,1090,59.127.81.214,192.168.2.11,datalength=1070
Я вижу, что IP 59.127.81.214 просматривает систему, но я не знаю остальные поля. Существует ли какая-либо документация? https://docs.netgate.com/pfsense/en/latest/monitoring/logs/raw-filter-format.html ничего не показывает.
Ответ или решение
Чтобы проанализировать ваш лог событий pfSense, давайте разберем строку лога, которую вы предоставили, и объясним значения всех полей. Вот разбиение приведенного вами лога:
4,,,1000000103,mvneta0,match,block,in,4,0x0,,50,50087,0,DF,47,gre,1090,59.127.81.214,192.168.2.11,datalength=1070Разбор полей лога:
-
Номер журнала (4) – Ключевая информация о логах, указывающая на номер события в системе.
-
Пропуски (пустые поля) – Эти поля могут быть зарезервированы для будущего использования или для других метрик. В данном контексте они пустые.
-
Идентификатор интерфейса (1000000103) – Уникальный идентификатор интерфейса, через который произошло соединение или логирование данного события.
-
Имя интерфейса (mvneta0) – Имя сетевого интерфейса, который обрабатывает входящие или исходящие пакеты.
-
Состояние (match) – Указывает, что пакет соответствовал правилам фильтрации pfSense.
-
Действие (block) – Указывает, что этот пакет был заблокирован.
-
Направление (in) – Указывает на направление трафика. В данном случае это входящий трафик.
-
Протокол (4) – Определяет протокол, используемый в данном сообщении (в данном случае это IPv4).
-
Поле для дополнительных опций (0x0) – В данном случае не используется (ноль).
-
Порт назначения (50) – Порт, на который пришел пакет. Порт 50 обычно соответствует IGMP.
-
Порт источника (50087) – Порт, с которого пришел пакет.
-
Метрики (0) – Дополнительная информация о трафике или состояние пакета (в данном случае также не используется).
-
Флаги (DF) – Указывает на установку флага "Don’t Fragment" (не фрагментировать) для пакета.
-
Протокол (47) – Идентифицирует протокол на более высоком уровне (в данном случае это GRE).
-
Длина заголовка (1090) – Общая длина заголовка пакета.
-
IP-адрес источника (59.127.81.214) – IP-адрес, с которого пришел пакет, в вашем случае это адрес, подозреваемый в атаке.
-
IP-адрес назначения (192.168.2.11) – Локальный IP-адрес вашего устройства, к которому направлен пакет.
-
Дополнительная информация (datalength=1070) – Указывает на длину данных в пакете; в данном случае 1070 байтов.
Рекомендации:
-
Блокировка IP-адреса: Рассмотрите возможность добавления IP-адреса
59.127.81.214в список блокируемых адресов на вашем pfSense для предотвращения дальнейших попыток атаки. -
Мониторинг системы: Убедитесь, что у вас включен мониторинг трафика и ведение журналов, чтобы отслеживать подозрительный трафик.
-
Обновление системы: Важно следить за обновлениями pfSense и других компонентов вашего сетевого оборудования, чтобы защититься от известных уязвимостей, таких как CVE-2022-20946.
Заключение:
Для более глубокого понимания и анализа записей в логах pfSense, рекомендуется обращаться к официальной документации и сообществу пользователей pfSense, которые могут предоставить дополнительную информацию и советы по вашему вопросу. Надеюсь, это поможет вам лучше понять ваши логи и предпринять необходимые меры безопасности.