nguồn martian hạt nhân đến và từ cùng một IP

Chúng tôi liên tục thấy kernel: martian sourcecác mục nhật ký cho eth0 trên một vài máy chủ của chúng tôi. Điều thú vị là chúng đến và từ cùng một IP. Ví dụ:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

Điều này chỉ xảy ra trên một vài máy chủ. Có khoảng 60 cái có eth0 được cấu hình theo cùng một cách (rõ ràng là IP khác nhau).

Tôi nên nhìn vào cái gì để theo dõi điều này?

BIÊN TẬP:

Tuyến đường cho giao diện cụ thể này là tuyến đường mặc định, vì vậy tôi không nghĩ rằng đó là vấn đề gửi sai giao diện.

networking ip

— theillien
nguồn

Câu trả lời:

Vấn đề

Tôi đã gặp vấn đề tương tự ngày hôm nay, nơi các gói martian tràn ngập nhật ký kernel của tôi. Tất cả các gói martian là từ cùng một địa chỉ IP công cộng eth0đến cùng một địa chỉ IP công cộng của eth0(IP thực và tiêu đề được loại bỏ).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Sau một số nghiên cứu, tôi nhận ra lý do được ẩn giấu trong các ll headergói martian.

Học thuyết

Giả sử điều này trong kết nối Ethernet, ll headerthực sự hiển thị phần đầu của Khung Ethernet loại II, chứa địa chỉ MAC đích, địa chỉ MAC nguồn và ID cho biết loại phần còn lại của gói.

Định dạng khung Ethernet loại II [1]

Như bạn thấy, 6 byte đầu tiên là địa chỉ MAC đích, 6 byte tiếp theo là địa chỉ MAC nguồn và mã trong 2 byte cuối. Các mã phổ biến là:

08 00: Gói IP
86 dd: Gói IPv6
08 06: Gói ARP

Giải trình

Quay lại ví dụ của tôi.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Điều này cho chúng ta biết,

có một gói nhận được với địa chỉ IP nguồn và đích.
Nó được gửi bởi GG:HH:II:JJ:KK:LL, đó là một địa chỉ MAC mà tôi không biết.
Điểm đến của nó là AA:BB:CC:DD:EE:FFđịa chỉ MAC của riêng tôi.
Đó là một gói IP ( 08 00).

Nếu một gói có cùng địa chỉ IP nguồn và đích, thì nó phải được gửi bởi cùng một giao diện mạng, nhưng MAC cho nguồn và đích khác nhau! Làm sao chuyện đó có thể xảy ra?

Do đó, rõ ràng gói tin đến từ sao Hỏa, có một số vấn đề về định tuyến, một máy trong mạng được định cấu hình hoặc ai đó đang cố gắng giả mạo địa chỉ IP / MAC. Bước tiếp theo là kiểm tra địa chỉ MAC nguồn được đề cập.

— 比尔盖子
nguồn

trích từ Linux: Đăng nhập các gói sao Hỏa đáng ngờ / Địa chỉ nguồn không thể định tuyến

Gói sao Hỏa không là gì ngoài gói IP chỉ định địa chỉ nguồn hoặc địa chỉ đích được dành riêng cho sử dụng đặc biệt bởi Cơ quan cấp số được gán Internet (IANA).

Dưới đây là ví dụ về các khối địa chỉ như vậy:

10.0.0.0/8

127.0.0.0/8

224.0.0.0/4

240.0.0.0/4

:: / 128

:: / 96

:: 1/128

Để theo dõi điều này, bạn có một số tùy chọn. Bạn có thể bỏ qua nó, bạn có thể chặn nó thông qua tường lửa của mình hoặc bạn có thể sử dụng tcpdumphoặc wiresharkphân tích nội dung của gói, điều này có thể sẽ giúp bạn hiểu rõ hơn về những gì gây ra điều này.

Mô tả và nguồn bổ sung

Một cụm từ khác xuất hiện khi bạn tìm kiếm này là:

Đây là các gói mà Linux không mong đợi từ hướng chúng đến (nghĩa là các gói từ máy chủ nội bộ đến trên giao diện bên ngoài). Nguyên nhân có thể là do máy bị cấu hình sai trên mạng LAN của bạn. Bạn có thể tắt ghi nhật ký các gói thông qua /proc/sys/net/ipv4/conf/interface/log_martiansđó được ghi lại trong /usr/src/linux/Documentation/proc.txt

Tôi không thể tìm thấy nguồn gốc của đoạn này, nhưng nếu bạn tìm kiếm nó, nó sẽ xuất hiện rất nhiều, nguyên văn! Điều này mô tả vấn đề như một gói đã đi vào hệ thống trên một giao diện (NIC) mà nó không được chỉ định để đi qua.

Cuối cùng tôi cũng trích dẫn Wikipedia về chủ đề này, cũng vậy, nó cũng gần giống như ở trên.

Gói sao Hỏa là gói IP chỉ định địa chỉ nguồn hoặc địa chỉ đích được dành riêng cho sử dụng đặc biệt bởi Cơ quan cấp số được gán Internet (IANA). Nếu nhìn thấy trên internet công cộng, các gói này thực sự không thể bắt nguồn như được yêu cầu hoặc được gửi. ¹ Tuy nhiên, một số địa chỉ dành riêng có thể được định tuyến bằng cách sử dụng phát đa hướng hoặc trên các mạng riêng, liên kết cục bộ hoặc giao diện loopback, tùy thuộc vào phạm vi sử dụng đặc biệt nào chúng nằm trong phạm vi. ²

Các gói sao Hỏa thường phát sinh từ việc giả mạo địa chỉ IP trong các cuộc tấn công từ chối dịch vụ, 3 nhưng cũng có thể phát sinh từ sự cố thiết bị mạng hoặc cấu hình sai của máy chủ. 1

Người giới thiệu

http://www.derkeiler.com/Mending-Lists/securityf Focus / f Focus-linux / 2003-05 / 20002.html

— SLM
nguồn

Tuy nhiên, lời giải thích hay .... việc sử dụng các khối này có xu hướng khá phổ biến, đặc biệt là sau các mạng của NAT. Do đó, dựa trên lời giải thích của bạn, tôi sẽ mong đợi được xem những tin nhắn này mọi lúc. Vì vậy, có một cái gì đó nữa đang diễn ra trong thông điệp kernel, tôi muốn biết những gì.

— mdpc

@mdpc - thông tin bổ sung mô tả nguyên nhân của các gói martian: Làm thế nào bị phá vỡ chiến lược định tuyến gây ra một gói martian (chỉ cho đến nay) trong tracepath?

— slm

Chúng tôi sẽ chạy 24 giờ tcpdumptrên các máy chủ được đề cập. Điều đó nói rằng, tôi hiểu khái niệm của một gói martian. Điều tôi không hiểu, là tại sao một giao diện lại coi IP của chính nó như vậy.

— theillien

câu trả lời vô nghĩa trong thực tế.

— poige