Ми періодично бачимо kernel: martian sourceзаписи журналу для eth0 на пару наших серверів. Цікавим є те, що вони перебувають на одному і тому ж IP. Наприклад:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

Це відбувається лише на декількох серверах. Є близько 60, у яких et0 налаштовано так само (очевидно, різні IP-адреси).

Що я повинен дивитись, щоб відстежити це?

Редагувати:

Маршрут для цього конкретного інтерфейсу є маршрутом за замовчуванням, тому я не думаю, що це питання надсилання неправильного інтерфейсу.

Проблема

Я зіткнувся з тією ж проблемою і сьогодні, коли марсіанські пакети затопили мої журнали ядра. Усі марсіанські пакети перебувають з однієї загальнодоступної IP-адреси eth0до тієї ж загальнодоступної IP-адреси eth0(реальні IP-адреси та заголовок видалено).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Після деяких досліджень я зрозумів, що причина криється в ll headerмарсіанських пакетах.

Теорія

Якщо припустити це в Ethernet-з'єднанні, ll headerфактично показана початкова частина кадру Ethernet типу II, який містить MAC-адресу призначення, MAC-адресу джерела та ідентифікатор, що вказує тип іншої частини пакету.

Як бачите, перші 6 байт - це адреса MAC призначення, наступні 6 байт - вихідна MAC-адреса та код в останніх 2 байти. Поширені коди:

• 08 00: IP-пакети
• 86 dd: Пакет IPv6
• 08 06: Пакет ARP

Пояснення

Назад до мого прикладу.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Це нам говорить,

• був пакет, отриманий з однаковою IP-адресою джерела та призначення.
• Він був надісланий поштою GG:HH:II:JJ:KK:LL, що є MAC адресою, якої я не знаю.
• Його призначення - AA:BB:CC:DD:EE:FFце моя власна MAC-адреса.
• Це був пакет IP ( 08 00).

Якщо пакет має однакові IP-адреси джерела та призначення, він повинен бути надісланий тим самим мережевим інтерфейсом, але MAC для джерела та пункту призначення різні! Як це можливо?

Таким чином, зрозуміло, що пакет надходить з Марса, або є якісь проблеми з маршрутизацією, налаштована машина всередині мережі, або хтось намагається підробити IP / MAC адреси. Наступний крок - перевірка MAC-адреси джерела.

Марсіанський пакет - це не що інше, як IP-пакет, який вказує джерело або адресу призначення, яка зарезервована для спеціального використання Організацією, призначеною через Інтернет (IANA).

Ось приклади таких адресних блоків:

• 10.0.0.0/8
• 127.0.0.0/8
• 224.0.0.0/4
• 240.0.0.0/4
• :: / 128
• :: / 96
• :: 1/128

Для відстеження цього у вас є кілька варіантів. Ви можете просто проігнорувати його, ви можете заблокувати його через брандмауер, або ви можете використовувати tcpdumpабо wiresharkрозсікати вміст пакету, що, ймовірно, дасть вам зрозуміти, що це спричиняє.

Додаткові описи та джерела

Ще одна фраза, яка з’являється під час пошуку, - це наступна:

Це пакети, яких Linux не очікує від напрямку, з якого вони прийшли (тобто пакети від внутрішніх хостів, що надходять на зовнішній інтерфейс). Причина, ймовірно, неправильно налаштована машина у вашій локальній мережі. Ви можете вимкнути ведення журналу тих пакетів, через /proc/sys/net/ipv4/conf/interface/log_martiansякі це документально підтверджено /usr/src/linux/Documentation/proc.txt

Я не зміг знайти оригінальне джерело цього пункту, але якщо ви його шукаєте, він відображається багато, дослівно! Це описує проблему як пакет, який увійшов до системи на інтерфейсі (NIC), через який він не призначений для вступу.

Нарешті, я нагадав би і Вікіпедію на цю тему, яка також твердить приблизно так само, як вище.

Марсіанин пакет являє собою IP - пакет , який визначає адресу відправника або одержувача , який зарезервований для спеціального використання по Internet Assigned Numbers Authority (IANA). Якщо їх побачити в загальнодоступному Інтернеті, ці пакети насправді не можуть походить, як заявлено, або доставлятися. ¹ Однак деякі зарезервовані адреси можуть бути маршрутизовані за допомогою багатоадресної передачі або в приватних мережах, локальних посиланнях або інтерфейсних зворотних зв'язках, залежно від того, до якого діапазону спеціального використання вони потрапляють. ²

Марсіанські пакети зазвичай виникають з підміни адрес IP в відмову в обслуговуванні, 3 , але можуть також виникати з ладу мережевого обладнання або неправильна конфігурації хоста. 1

Список літератури

• http://www.derkeiler.com/Mailing-Lists/securityfocus/focus-linux/2003-05/0002.html