fonte Linux - martian em / var / log / messages

4

Eu continuo recebendo essas mensagens em / var / log / messages:

Mar  8 23:17:25 saas1 kernel: martian source 169.254.1.1 from 169.254.95.118, on dev usb0
Mar  8 23:17:25 saas1 kernel: ll header: ff:ff:ff:ff:ff:ff:00:21:5e:de:1b:be:08:06

Mais e mais a cada 5 segundos, há outro relatório exatamente da mesma maneira.

Eu fiz um whois em 169.254.95.118 e recebi uma mensagem estranha também:

link

This is the "link local" block. It was set
aside for this special use in the Standards 
Track document, RFC 3927 and was further
documented in the Best Current Practice
RFC 5735, which can be found at:
http://www.rfc-editor.org/rfc/rfc3927.txt
http://www.rfc-editor.org/rfc/rfc5735.txt
It is allocated for communication between hosts 
on a single link. Hosts obtain these addresses 
by auto-configuration, such as when a DHCP 
server cannot be found.
A router MUST NOT forward a packet with an IPv4 
Link-Local source or destination address, 
irrespective of the router's default route configuration 
or routes obtained from dynamic routing protocols. 
A router which receives a packet with an IPv4 
Link-Local source or destination address MUST NOT 
forward the packet. This prevents forwarding of 
packets back onto the network segment from which 
they originated, or to any other segment.
    
por edumike 08.03.2011 / 13:32

4 respostas

7

Se um host em uma rede não puder obter um endereço de rede via DHCP, um endereço de 169.254.1.0 a 169.254.254.255 poderá ser atribuído pseudo-aleatoriamente. Então é uma interface sem conexão com a internet. É isso que ARIN está dizendo a você. Se alguém tentar enviar algo para esse endereço, ele é chamado de pacote marciano.

O que está conectado ao usb0?

    
por 08.03.2011 / 13:39
4

Você não nos diz qual é o endereço IP de USB0, mas eu acho que não está na sub-rede local do link, então os pacotes que chegam ao usb0 a partir do link local serão 'marciano'. Esta é uma explanação amplamente citada

These are packets that Linux does not expect from the direction they came from (i.e. packets from internal hosts coming in on the external interface). The cause is probably a misconfigured machine on your LAN. You can turn off logging those packets via /proc/sys/net/ipv4/conf/interface/log_martians which is documented in /usr/src/linux/Documentation/proc.txt

    
por 08.03.2011 / 13:44
3

Wikipedia: link

Você pode desativar o registro marciano se quiser:

echo 0 > /proc/sys/net/ipv4/conf/{all,default}/log_martians
    
por 08.03.2011 / 13:44
1

Eu realmente não desligaria o registro dos marcianos: eles geralmente são registrados em máquinas de produção e isso para proteger contra uma agressão.

Um clique a cada poucos segundos é provavelmente uma máquina mal configurada, mas no dia em que seu servidor for atacado, você terá informações valiosas nos registros.

A melhor aposta é manter o registro em log e procurar por uma máquina mal configurada, se não houver muitas máquinas para examinar - é provável que seja uma máquina próxima.

    
por 07.01.2013 / 23:54