此消息淹没了我的系统日志，如何找到它的来源？

当我运行时，dmesg大约每秒钟出现一次：

[22661.447946] [UFW BLOCK] IN=eth0 OUT= MAC=ee:54:32:37:94:5f:f0:4b:3a:4f:80:30:08:00 SRC=35.162.106.154 DST=104.248.41.4 LEN=40 TOS=0x00 PREC=0x00 TTL=37 ID=52549 DF PROTO=TCP SPT=25 DPT=50616 WINDOW=0 RES=0x00 RST URGP=0

如何跟踪导致此消息的原因？

现有的答案在其对防火墙日志条目的技术分析中是正确的，但是缺少使结论不正确的一点。包

• 是RST（重置）数据包
• 从 SRC=35.162.106.154
• 给您的主机 DST=104.248.41.4
• 通过 TCP
• 从他的港口 SPT=25
• 到你的港口 DPT=50616
• 并已BLOCK通过UFW编。

端口25（源端口）通常用于电子邮件。端口50616在临时端口范围内，这意味着该端口没有一致的用户。可以响应许多意外情况发送TCP“重置”数据包，例如关闭连接后到达的数据，或者在不先建立连接的情况下发送数据。

35.162.106.154反向解析为cxr.mx.a.cloudfilter.netCloudMark电子邮件过滤服务使用的域。

您的计算机或冒充您的计算机的某人正在将数据发送到其中一台CloudMark服务器。数据意外到达，并且服务器响应RST以请求发送计算机停止。考虑到防火墙正在丢弃防火墙RST而不是将其传递给某些应用程序，导致RST发送该数据的数据不是来自您的计算机。取而代之的是，您可能会看到拒绝服务攻击的反向散射，在这种攻击中，攻击者正在发送带有伪造“发件人”地址的数据包，以使CloudMark的邮件服务器脱机（也许使垃圾邮件更有效）。

该消息来自UFW（“简单的防火墙”），它告诉您有人

• 从 SRC=35.162.106.154
• 尝试连接到您的主机 DST=104.248.41.4
• 通过 TCP
• 从他们的港口 SPT=25
• 到你的港口 DPT=50616
• UFW成功地进行BLOCK了尝试。

根据此站点 ，源地址35.162.106.154是某些Amazon计算机（可能是AWS）。根据此站点 ，端口50616可以用于Xsan Filesystem Access。

因此，这是从IP = 35.162.106.154访问文件的尝试。非常正常，没有什么真正要担心的，因为这就是防火墙的用途：拒绝此类尝试。