origem do kernel marciano para e do mesmo IP

10

Estamos vendo intermitentemente kernel: martian source entradas de log para eth0 em alguns de nossos servidores. O interessante é que eles são de e para o mesmo IP. Por exemplo:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

Isso só acontece em alguns servidores. Existem cerca de 60 que possuem eth0 configurado da mesma maneira (IP diferente, obviamente).

O que eu devo procurar para rastrear isso?

EDITAR:

A rota para essa interface em particular é a rota padrão, então não acho que seja uma questão de ser enviada a interface errada.

    
por theillien 05.11.2014 / 01:08

2 respostas

8

Problema

Eu encontrei o mesmo problema hoje, onde os pacotes marcianos inundaram meus logs do kernel. Todos os pacotes marcianos são do mesmo endereço IP público de eth0 para o mesmo endereço IP público de eth0 (os IPs reais e o cabeçalho são removidos).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Após algumas pesquisas, percebi que a razão está escondida no ll header dos pacotes marcianos.

Teoria

Assumindo isso em uma conexão Ethernet, ll header na verdade mostra a parte inicial de um Quadro Ethernet Tipo II, que contém o endereço MAC de destino, endereço MAC de origem e um ID indica o tipo da parte restante do pacote.

Como você vê, os primeiros 6 bytes são o endereço MAC de destino, os próximos 6 bytes são o endereço MAC de origem e um código nos últimos 2 bytes. Códigos comuns são:

  • 08 00 : pacotes IP
  • 86 dd : Pacote IPv6
  • 08 06 : Pacote ARP

Explicação

Voltar ao meu exemplo.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Isso nos diz,

  • havia um pacote recebido com a mesma fonte e endereço IP de destino.
  • Foi enviado por GG:HH:II:JJ:KK:LL , que é um endereço MAC que eu não conheço.
  • Seu destino é AA:BB:CC:DD:EE:FF , que é meu próprio endereço MAC.
  • Era um pacote IP ( 08 00 ).

Se um pacote tiver os mesmos endereços IP de origem e destino, ele deve ser enviado pela mesma interface de rede, mas os MACs para origem e destino são diferentes! Como isso pode ser possível?

Assim, fica claro que o pacote vem da Mars, ou há alguns problemas de roteamento, uma máquina dentro da rede está configurada ou alguém está tentando falsificar os endereços IP / MAC. O próximo passo é verificar o endereço MAC de origem em questão.

    
por 22.10.2016 / 22:25
6
trecho de Linux: Registre os Pacotes Marcianos Suspeitos / Un -Routable Source Addresses

A Martian packet is nothing but an IP packet which specifies a source or destination address that is reserved for special-use by Internet Assigned Numbers Authority (IANA).

Here are examples of such address blocks:

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • ::/128
  • ::/96
  • ::1/128

Para rastrear isso, você tem várias opções. Você pode simplesmente ignorá-lo, bloqueá-lo por meio do firewall ou usar tcpdump ou wireshark para dissecar o conteúdo do pacote, o que provavelmente fornecerá informações sobre o que está causando isso.

Descrições e fontes adicionais

Uma outra frase que aparece quando você pesquisa por isso é a seguinte:

These are packets that Linux does not expect from the direction they came from (i.e. packets from internal hosts coming in on the external interface). The cause is probably a misconfigured machine on your LAN. You can turn off logging those packets via /proc/sys/net/ipv4/conf/interface/log_martians which is documented in /usr/src/linux/Documentation/proc.txt

Eu não encontrei a fonte original deste parágrafo, mas se você procurar por ele, ele aparecerá muito, literalmente! Isso descreve o problema como um pacote que chegou ao sistema em uma interface (NIC) para a qual ele não está designado para entrar.

Finalmente, eu também citei a Wikipédia neste tópico, que também diz aproximadamente o mesmo que o acima.

A Martian packet is an IP packet which specifies a source or destination address that is reserved for special-use by Internet Assigned Numbers Authority (IANA). If seen on the public internet, these packets cannot actually originate as claimed, or be delivered.1 However, certain reserved addresses can be routed using multicast, or on private networks, local links, or loopback interfaces, depending on which special-use range they fall within.2

Martian packets commonly arise from IP address spoofing in denial-of-service attacks,3 but can also arise from network equipment malfunction or misconfiguration of a host.1

Referências

por 05.11.2014 / 01:17

Tags