簡單認識 facebook 不正當包?? iptables GNU Linux

http://www.ietf.org/

我的懷疑是基於自由軟件的宣導，但沒有証據

 

非死不可一直送包給我，包被 iptables 抓到，（條件來至 Troubleshooting Linux Firewalls SHINN）

iptables -A INPUT -m conntrack --ctstate INVALID -j BOGUS
iptables -A BOGUS -m limit --limit 1/second -j LOG --log-level 7 --log-prefix "INVALID PACKET -- DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

在 /var/log/kern.log 記錄裡

...
... kernel: [5776.563590] INVALID PACKET -- DROP IN=eth0 OUT= 
MAC=00:12:34:56:78:90:00:12:34:56:78:ce:08:00 SRC=69.171.229.70 DST=192.168.1.200 
LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=48732 DF PROTO=TCP SPT=80 DPT=44880 SEQ=3955858286 ACK=1931615971 WINDOW=0 RES=0x00 ACK RST URGP=0
...
...
... kernel: [5883.452948] INVALID PACKET -- DROP IN=eth0 OUT= 
MAC=00:12:34:56:78:90:00:12:34:56:78:ce:08:00 SRC=69.171.229.70 DST=192.168.1.200 
LEN=78 TOS=0x00 PREC=0x00 TTL=243 ID=43682 DF PROTO=TCP SPT=443 DPT=45907 SEQ=2408368287 ACK=3417897550 WINDOW=0 RES=0x00 ACK RST URGP=0
...

 

whois 69.171.228.74

顯示 69.171.224.0 - 69.171.255.255 都是非死不可在加州

nmap -A 69.171.228.74

顯示是一個路由器?

TOS = IPv4 Type of Service，0x00 沒有任何特殊條件 (TOS 表示這是舊 IPv4 協定，新用 DSCP，ECN)

PREC = IPv4 Precedence，0x00 等於 routine？？?

DF = ICMPv4 Do not Fragment? ID = identification 表示是 ICMP?

SEQ = sequence number, ACK = acknowledge number, 表示是 TCP

WINDOW = window 表示是 TCP，本地包告知遠端在下一個 ACK 標誌符通訊前，可送的最大 sequence number

nmap 會使用 INVALID 掃描，但 ACK，RST 一起那是什麼東東？

ACK 表示它收到我的包

RST 表示它要扯掉 TCP 連線

可以看出 IPv4 包 icmp 包 tcp