O equipamento do ISP está mal configurado? Obtendo pacotes marcianos na interface da Internet

7

Temos um bloco / 28 do nosso ISP. Digamos 1.1.1.240/28 com um gateway de 1.1.1.241. Estamos recebendo pacotes marcianos de outro cliente em 1.1.1.214. Eles estão enviando transmissões para 1.1.1.255. Devemos estar recebendo esses pacotes? Não entendo a transmissão neste cenário.

mensagem do syslog

martian source 1.1.1.255 from 1.1.1.214, on dev eth0
ll header: ff:ff:ff:ff:ff:ff:00:XX:f3:XX:69:ad:08:00

interface de rede:

$ ifconfig eth0
eth0      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          inet addr:1.1.1.243  Bcast:1.1.1.255  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15161982 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1627243 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1028191733 (1.0 GB)  TX bytes:140279903 (140.2 MB)
          Memory:fbde0000-fbe00000

Ou talvez a interface esteja mal configurada? O Bcast está listado como 1.1.1.255. Se este é um comportamento normal, eu não acho que o kernel deva cuspir centenas deles para o syslog a cada minuto.

UPDATE

Estes pacotes estão constantemente chegando em 2-3 por segundo. Eu os capturei e eles porta UDP / dst UDP 15001: 10: 00: 91: 13: 00: 00: 39: 22: 23: 02: 00: 00: 00: 00: 00: 01: 3c: 62: 65 : 61: 63: 6f: 6e: 2f: 3e

    
por Jeremy 06.02.2014 / 04:34

1 resposta

8

Isso é assustador - parece que seu ISP não está isolando os domínios de broadcast dos clientes, e esse outro cliente simplesmente tem sua máscara de rede configurada como / 24.

Se esse for o caso, é um risco de segurança bastante sério, pois eles podem efetivamente desativar seus dispositivos ou obter tráfego para seus sistemas, seja acidental ou maliciosamente.

Você pode testar ARPing para o sistema do outro cliente (o que pode ser um pouco complicado sem uma reconfiguração da interface do seu roteador), ou apenas observar o ARP na linha e ver se você está recebendo solicitações ARP para sua sub-rede. / p>

Se os domínios de broadcast estiverem realmente unidos, você precisa ter um coração para coração com o seu ISP.

    
por 06.02.2014 / 05:01