そのソースのIPアドレス"222.253.170.18"を逆引きしてみると"localhost"さんでした。
$ host 222.253.170.18
Name: localhost
Address: 222.253.170.18
リモートホストなのに「ローカル」ホストとはこれいかに。変だ…
怪しく思えたので調べてみました。
一般的に、"localhost"は"127.0.0.1"へとローカルで名前解決しています。
名前で"localhost"の通信を全許可なんてしていると、"localhost"を名乗る
他人のリモートホストからもファイアーウォールを貫通されそうです。
ローカルホストで動くサーバーをローカルホストから使えるようにしている場合は
設定によっては危険。例えば、メールの送信を自前のSMTPサーバーでまかなう場合です。
興味が沸いたので、もう少し調べてみました。
$ whois 222.253.170.18
...
inetnum: 222.253.32.0 - 222.253.175.255
netname: HCMPT-NET
country: vn
descr: Ho Chi Minh City Post and Telecom Company
...
ベトナムからの接続でした。
"222.253.32.0 - 222.253.175.255"の範囲のすべてのIPアドレスが
"localhost"へと逆引きされてるようです。
"ベトナム localhost"でググってみると、2005年に同様に
変な"localhost"を報告されている記事を発見しました。
■[tech] 逆引き localhost. でスパム送信@inuzの日記
http://d.hatena.ne.jp/inuz/20051125/p1
名前でファイアーウォールのルールを記述するのは危険みたい。
教訓になりました。
変な"localhost"からの通信内容
UDPの通信でソースポートが53697、ディスティネーションポートが39019でした。
疑い出すとキリがないんですが、ウェルノウンポートの通信でも
Windowsでよくブロードキャストされてる通信でもないので怪しく思えます。
変な"localhost"の通信は以下ようにログに残っていました。
Nov 9 22:13:39 host kernel: [61982.497815] iptables_log: INPUT: IN=ppp0 OUT= MAC= SRC=222.253.170.18 DST=x.x.x.x LEN=55 TOS=0x00 PREC=0x00 TTL=115 ID=2001 PROTO=UDP SPT=53697 DPT=39019 LEN=35
ログの取得は以下のようにiptablesを使っています。
# iptables -I INPUT 1 -m state --state NEW -j LOG --log-level debug --log-prefix "iptables_log: INPUT: "
環境
OS: Linux
debina-lenny
iptables-1.4.1.1