Problema

Eu encontrei o mesmo problema hoje, onde os pacotes marcianos inundaram meus logs do kernel. Todos os pacotes marcianos são do mesmo endereço IP público de eth0 para o mesmo endereço IP público de eth0 (os IPs reais e o cabeçalho são removidos).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Após algumas pesquisas, percebi que a razão está escondida no ll header dos pacotes marcianos.

Teoria

Assumindo isso em uma conexão Ethernet, ll header na verdade mostra a parte inicial de um Quadro Ethernet Tipo II, que contém o endereço MAC de destino, endereço MAC de origem e um ID indica o tipo da parte restante do pacote.

Como você vê, os primeiros 6 bytes são o endereço MAC de destino, os próximos 6 bytes são o endereço MAC de origem e um código nos últimos 2 bytes. Códigos comuns são:

• 08 00 : pacotes IP
• 86 dd : Pacote IPv6
• 08 06 : Pacote ARP

Explicação

Voltar ao meu exemplo.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Isso nos diz,

• havia um pacote recebido com a mesma fonte e endereço IP de destino.
• Foi enviado por GG:HH:II:JJ:KK:LL , que é um endereço MAC que eu não conheço.
• Seu destino é AA:BB:CC:DD:EE:FF , que é meu próprio endereço MAC.
• Era um pacote IP ( 08 00 ).

Se um pacote tiver os mesmos endereços IP de origem e destino, ele deve ser enviado pela mesma interface de rede, mas os MACs para origem e destino são diferentes! Como isso pode ser possível?

Assim, fica claro que o pacote vem da Mars, ou há alguns problemas de roteamento, uma máquina dentro da rede está configurada ou alguém está tentando falsificar os endereços IP / MAC. O próximo passo é verificar o endereço MAC de origem em questão.

A Martian packet is nothing but an IP packet which specifies a source or destination address that is reserved for special-use by Internet Assigned Numbers Authority (IANA).

Here are examples of such address blocks:

• 10.0.0.0/8
• 127.0.0.0/8
• 224.0.0.0/4
• 240.0.0.0/4
• ::/128
• ::/96
• ::1/128

Para rastrear isso, você tem várias opções. Você pode simplesmente ignorá-lo, bloqueá-lo por meio do firewall ou usar tcpdump ou wireshark para dissecar o conteúdo do pacote, o que provavelmente fornecerá informações sobre o que está causando isso.

Descrições e fontes adicionais

Uma outra frase que aparece quando você pesquisa por isso é a seguinte:

These are packets that Linux does not expect from the direction they came from (i.e. packets from internal hosts coming in on the external interface). The cause is probably a misconfigured machine on your LAN. You can turn off logging those packets via /proc/sys/net/ipv4/conf/interface/log_martians which is documented in /usr/src/linux/Documentation/proc.txt

Eu não encontrei a fonte original deste parágrafo, mas se você procurar por ele, ele aparecerá muito, literalmente! Isso descreve o problema como um pacote que chegou ao sistema em uma interface (NIC) para a qual ele não está designado para entrar.

Finalmente, eu também citei a Wikipédia neste tópico, que também diz aproximadamente o mesmo que o acima.

A Martian packet is an IP packet which specifies a source or destination address that is reserved for special-use by Internet Assigned Numbers Authority (IANA). If seen on the public internet, these packets cannot actually originate as claimed, or be delivered.¹ However, certain reserved addresses can be routed using multicast, or on private networks, local links, or loopback interfaces, depending on which special-use range they fall within.²

Martian packets commonly arise from IP address spoofing in denial-of-service attacks,3 but can also arise from network equipment malfunction or misconfiguration of a host.1

Referências

• link