Більшу частину часу, коли я здійснюю будь-який пошук по загартуванню вікна linux тощо, у списку завжди є розділ журналу пакету Martian (IP) без додаткових пояснень.
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
Я зробив кілька гуглінгу, але це не схоже на те, що пакети марсіанів є джерелом нападу. Хтось може пролити світло?
Дякую
Відповіді:
Марсіанський пакет - це пакет з адресою джерела, яка, очевидно, неправильна - нічого не може бути повернуто на цю адресу.
Прикладом може бути, якщо в загальнодоступному Інтернеті виявлено пакет, що має адресу джерела 192.168.0.1 - адресу, що належить до одного із зарезервованих приватних адресних просторів IANA. Іншим прикладом може бути пакет, який має адресу джерела 192.168.0.1 в приватній мережі, використовуючи лише приватний адресний простір 10.0.0.0/8.
Оскільки такий пакет є марною витратою енергії та пропускної здатності, де б він не з’явився, блокування його якомога раніше в мережі може вважатися корисною практикою.
Що стосується атак, марсіанський пакет говорить мало про те, якою буде навантаження на атаку, крім того, що вона використовує пропускну здатність та ресурси обробки. Однак машині джерела було б складно простежити, оскільки фактична адреса джерела відсутня (що робить марсіанів ідеальним доповненням до DOS / DDOS, якщо припустити, що пакет не відкидається на початку мережевого шляху).
Неправильна конфігурація або непристосовані конфігурації за замовчуванням є ймовірними джерелами марсіанів.
У мене виникають великі труднощі мотивувати, чому фільтрація марсіанів була б поганою ідеєю. Що стосується ведення журналу, то це може бути принаймні для того, щоб знайти ті не зовсім рідкісні неправильні конфігурації, але для кожної організації було б щось вирішити. Непотрібне захаращення колод також є споживчим і теж неприємно.
Більше інформації тут .