kernel martian source ke dan dari IP yang sama


12

Kami sebentar-sebentar melihat kernel: martian sourceentri log untuk eth0 di beberapa server kami. Yang menarik adalah mereka dari dan ke IP yang sama. Contohnya:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

Ini hanya terjadi pada beberapa server. Ada sekitar 60 yang memiliki eth0 dikonfigurasi dengan cara yang sama (IP berbeda, jelas).

Apa yang harus saya lihat untuk melacak ini?

EDIT:

Rute untuk antarmuka khusus ini adalah rute default, jadi saya rasa ini bukan masalah pengiriman antarmuka yang salah.

Jawaban:


15

Masalah

Saya mengalami masalah yang sama hari ini, di mana paket-paket Mars membanjiri log kernel saya. Semua paket martian berasal dari alamat IP publik eth0yang sama dengan alamat IP publik yang sama eth0(IP dan header asli dihapus).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Setelah beberapa penelitian, saya menyadari alasan tersembunyi di ll headerpaket Mars.

Teori

Dengan asumsi ini dalam koneksi Ethernet, ll headersebenarnya menunjukkan bagian awal dari Frame Tipe II Ethernet, yang berisi alamat tujuan MAC, alamat sumber MAC, dan ID menunjukkan jenis bagian sisa paket.

Format Frame Ethernet Tipe II [1]

Seperti yang Anda lihat, 6 byte pertama adalah alamat MAC tujuan, 6 byte berikutnya adalah alamat MAC sumber, dan kode dalam 2 byte terakhir. Kode umum adalah:

  • 08 00: Paket IP
  • 86 dd: Paket IPv6
  • 08 06: Paket ARP

Penjelasan

Kembali ke contoh saya.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Ini memberitahu kita,

  • ada paket yang diterima dengan sumber SAMA dan alamat IP tujuan.
  • Itu dikirim oleh GG:HH:II:JJ:KK:LL , yang merupakan alamat MAC yang saya tidak tahu.
  • Tujuannya adalah AA:BB:CC:DD:EE:FF , yang merupakan alamat MAC saya sendiri.
  • Itu adalah paket IP ( 08 00).

Jika suatu paket memiliki sumber dan tujuan alamat IP yang sama, itu harus dikirim oleh antarmuka jaringan yang sama, tetapi MAC untuk sumber dan tujuan berbeda! Bagaimana mungkin?

Dengan demikian, jelas bahwa paket tersebut berasal dari Mars, baik ada beberapa masalah perutean, mesin dalam jaringan dikonfigurasi, atau seseorang mencoba untuk menipu alamat IP / MAC. Langkah selanjutnya adalah memeriksa alamat MAC sumber yang dimaksud.


9
kutipan dari Linux: Catat Paket Mars Mencurigakan / Alamat Sumber Tidak Dapat Dirute

Paket Mars tidak lain adalah paket IP yang menentukan sumber atau alamat tujuan yang dicadangkan untuk penggunaan khusus oleh Internet Assigned Numbers Authority (IANA).

Berikut adalah contoh dari blok alamat tersebut:

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • :: / 128
  • :: / 96
  • :: 1/128

Untuk melacak ini, Anda memiliki beberapa opsi. Anda bisa mengabaikannya, memblokirnya melalui firewall, atau menggunakan tcpdumpatau wiresharkmembedah isi paket, yang kemungkinan akan memberi Anda wawasan tentang apa penyebabnya.

Deskripsi dan sumber tambahan

Satu frasa lain yang muncul ketika Anda mencari ini adalah sebagai berikut:

Ini adalah paket yang tidak diharapkan oleh Linux dari arah asalnya (yaitu paket dari host internal yang masuk pada antarmuka eksternal). Penyebabnya mungkin mesin yang salah konfigurasi pada LAN Anda. Anda dapat mematikan pendataan paket-paket tersebut melalui /proc/sys/net/ipv4/conf/interface/log_martiansyang didokumentasikan /usr/src/linux/Documentation/proc.txt

Saya tidak dapat menemukan sumber asli paragraf ini, tetapi jika Anda mencarinya, ini akan banyak muncul, kata demi kata! Ini menjelaskan masalah ini sebagai paket yang telah masuk ke sistem pada antarmuka (NIC) yang tidak dimaksudkan untuk masuk.

Akhirnya saya juga mengutip Wikipedia tentang topik ini, yang menyatakan, kira-kira sama dengan yang di atas.

Paket Mars adalah paket IP yang menentukan sumber atau alamat tujuan yang dicadangkan untuk penggunaan khusus oleh Internet Assigned Numbers Authority (IANA). Jika dilihat di internet publik, paket-paket ini tidak dapat benar-benar berasal seperti yang diklaim, atau dikirim. 1 Namun, alamat khusus yang dicadangkan dapat dialihkan menggunakan multicast, atau pada jaringan pribadi, tautan lokal, atau antarmuka loopback, tergantung pada rentang penggunaan khusus mana yang termasuk di dalamnya. 2

Paket Mars umumnya muncul dari spoofing alamat IP dalam serangan denial-of-service, 3 tetapi juga dapat muncul dari kerusakan peralatan jaringan atau kesalahan konfigurasi host. 1

Referensi


Namun penjelasan yang bagus .... penggunaan blok ini cenderung sangat umum terutama di belakang jaringan NAT'd. Jadi berdasarkan penjelasan Anda, saya berharap untuk melihat pesan-pesan ini sepanjang waktu. Jadi ada sesuatu yang lebih dalam pesan kernel, saya tertarik untuk mengetahui apa.
mdpc


1
Kami akan menjalankan 24 jam tcpdumpdi server yang bersangkutan. Yang mengatakan, saya mengerti konsep paket Mars. Apa yang saya tidak mengerti, adalah mengapa sebuah antarmuka akan mempertimbangkan IP sendiri.
theillien

sebenarnya jawaban sia-sia.
poige
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.