Aynı IP'ye giden ve aynı IP'den çekirdek Mars kaynağı

13

kernel: martian sourceBirkaç sunucumuzda eth0 için günlük girişlerini aralıklı olarak görüyoruz . İlginç olan şey, aynı IP'ye ve aynı IP'den olmalarıdır. Örneğin:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

Bu yalnızca birkaç sunucuda gerçekleşir. Aynı şekilde yapılandırılmış eth0'a sahip yaklaşık 60 tane var (farklı IP, açıkçası).

Bunu takip etmek için nelere bakmalıyım?

DÜZENLE:

Bu belirli arayüz için rota varsayılan yoldur, bu yüzden yanlış arayüz gönderilmesi meselesi olduğunu düşünmüyorum.

networking  ip 
theillien
kaynak

Yanıtlar:

16

Sorun

Bugün aynı sorunla karşılaştım, burada Marslı paketler çekirdek günlüklerimi doldurdu. Tüm Marslı paketleri aynı genel IP adresiyle eth0aynı genel IP adresinden eth0(gerçek IP'ler ve başlık kaldırılır).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Biraz araştırma yaptıktan sonra, sebebin ll headerMars paketlerinde gizlendiğini fark ettim .

teori

Bunu bir Ethernet bağlantısında varsayarsak, ll headeraslında hedef MAC adresini, kaynak MAC adresini içeren bir Ethernet Tip II Çerçevesinin başlangıç ​​kısmını ve ID ise paketin geri kalan kısmının türünü gösterir.

Ethernet Tip II Çerçeve Biçimi [1]

Gördüğünüz gibi, ilk 6 bayt hedef MAC adresidir, sonraki 6 bayt kaynak MAC adresidir ve son 2 bayttaki bir koddur. Ortak kodlar:

  • 08 00: IP Paketleri
  • 86 dd: IPv6 Paketi
  • 08 06: ARP Paketi

açıklama

Örneğime geri dön.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Bu bize şunu söyler,

  • AYNI kaynak ve hedef IP adresiyle birlikte bir paket alındı.
  • Tarafından gönderildi GG:HH:II:JJ:KK:LL, bilmediğim bir MAC adresi.
  • Hedefi, AA:BB:CC:DD:EE:FFkendi MAC adresim.
  • Bir IP paketiydi ( 08 00).

Bir paket aynı kaynak ve hedef IP adreslerine sahipse, aynı ağ arayüzü tarafından gönderilmelidir, ancak kaynak ve hedef için MAC'ler farklıdır! Nasıl mümkün olabilir?

Bu nedenle, paketin Mars'tan geldiği açıktır, bazı yönlendirme sorunları vardır, ağ içindeki bir makine yapılandırılmıştır veya birisi IP / MAC adreslerini taklit etmeye çalışıyor. Bir sonraki adım, söz konusu kaynak MAC adresini kontrol etmektir.

比尔 盖子
kaynak
9
Linux'tan alıntı : Şüpheli Mars Paketlerini / Yönlendirilemeyen Kaynak Adreslerini Günlüğe Kaydet

Marslı bir paket, Internet Atanmış Numaralar Otoritesi (IANA) tarafından özel kullanım için ayrılmış bir kaynak veya hedef adresi belirten bir IP paketinden başka bir şey değildir.

İşte bu tür adres bloklarına örnekler:

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • :: / 128
  • :: / 96
  • :: 1/128

Bunu izlemek için birkaç seçeneğiniz var. Sadece görmezden gelebilir, güvenlik duvarınız üzerinden engelleyebilirsiniz tcpdumpya wiresharkda paketin içeriğini kullanabilir veya inceleyebilirsiniz , bu da buna neden olan şey hakkında size fikir verecektir.

Ek açıklamalar ve kaynaklar

Bunu aradığınızda görünen bir diğer cümle şudur:

Bunlar, Linux'un geldikleri yönden beklemediği paketlerdir (yani, harici ana bilgisayarlardan gelen dahili ana bilgisayarlardan gelen paketler). Nedeni muhtemelen LAN'ınızda yanlış yapılandırılmış bir makinedir. Üzerinden /proc/sys/net/ipv4/conf/interface/log_martiansbelgelendirilen paketlerin günlüğe kaydedilmesini kapatabilirsiniz /usr/src/linux/Documentation/proc.txt

Bu paragrafın orijinal kaynağını bulamadım, ancak onu ararsanız, çok fazla ortaya çıkıyor, kelimesi kelimesine! Bu, sorunu, gelmek üzere tasarlanmadığı bir arabirim (NIC) üzerinde sisteme gelen bir paket olarak tanımlar.

Son olarak Wikipedia'yı bu konuda da belirteceğim, ki bu da yukarıdakilerle aynıdır.

Marslı paket, Internet Atanmış Numaralar Otoritesi (IANA) tarafından özel kullanım için ayrılmış bir kaynak veya hedef adresi belirten bir IP paketidir . Halka açık internette görülürse, bu paketler talep edildiği gibi kaynaklanamaz veya teslim edilemez. 1 Bununla birlikte, belirli ayrılmış adresler, hangi özel kullanım aralığına düştüklerine bağlı olarak çok noktaya yayın kullanılarak veya özel ağlarda, yerel bağlantılarda veya geri döngü arabirimlerinde yönlendirilebilir. 2

Mars paketleri genellikle hizmet reddi saldırılarında IP adresi sahteciliğinden kaynaklanır 3, ancak ağ ekipmanı arızasından veya bir konağın yanlış yapılandırılmasından da kaynaklanabilir. 1

Referanslar

slm
kaynak
Ancak güzel bir açıklama .... bu blokların kullanımı özellikle NAT'd ağlarının arkasında oldukça yaygın olma eğilimindedir. Bu yüzden açıklamanıza dayanarak, bu mesajları her zaman görmeyi beklerdim. Çekirdek mesajında ​​daha fazla bir şey oluyor, ne olduğunu bilmek isterdim.
mdpc
slm
1
tcpdumpSöz konusu sunucularda 24 saat çalışacağız . Bununla birlikte, Marslı bir paket kavramını anlıyorum. Anlamadığım şey, bir arabirimin neden kendi IP'sini böyle değerlendirmesidir.
theillien
anlamsız cevap aslında.
poige
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.