質問

質問

kernel: martian source一部のサーバーでは、eth0のログエントリが断続的に表示されます。興味深いことに、彼らは同じIPから来ました。たとえば、

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

これは一部のサーバーでのみ発生します。そのうち、eth0が同じ方法で構成されている約60があります(明らかに異なるIP)。

この問題を追跡するには何を探すべきですか?

編集する:

そのインターフェイスへのパスはデフォルトパスなので、間違ったインターフェイスに送信する問題ではないようです。

答え1

質問

今日、火星パケットが私のカーネルログをいっぱいにするのと同じ問題に直面しました。すべての火星パケットは、同じパブリックIPアドレスからeth0同じパブリックIPアドレスに送信されますeth0(実際のIPとヘッダは削除されます)。

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

ll headerいくつかの調査の終わりに、火星データパケットにその理由が隠されていることに気づきました。

理論

イーサネット接続では、ll header宛先MACアドレス、ソースMACアドレス、および残りのパケットタイプを示すIDを含むイーサネットタイプIIフレームの先頭が実際に表示されると仮定する。

イーサネットクラスIIフレームフォーマット[1]

ご覧のとおり、最初の6バイトは宛先MACアドレス、次の6バイトは送信元MACアドレス、最後の2バイトはコードです。一般的なコードは次のとおりです。

  • 08 00: IP パケット
  • 86 dd: IPv6 パケット
  • 08 06: ARP パケット

説明する

私の例に戻ります。

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

これは私たちに教えてくれます。

  • 同じ送信元 IP アドレスと宛先 IP アドレスを使用してパケットが受信されました。
  • GG:HH:II:JJ:KK:LL私が知らないMACアドレスであるから送信されます。
  • 目的地はですAA:BB:CC:DD:EE:FF。これは私のMACアドレスです。
  • これはIPパケット(08 00)です。

パケットの送信元と宛先のIPアドレスが同じ場合は、同じネットワークインターフェイスを介して送信する必要がありますが、送信元と宛先のMACは異なります。どうすればいいですか?

したがって、パケットが火星から来ており、ルーティングに問題があるか、ネットワーク内のシステムが設定されているか、誰かがIP / MACアドレスを偽装しようとしていることが明らかです。次のステップは、問題のソースMACアドレスを確認することです。

答え2

から抜粋Linux:疑わしい火星パケット/ルーティングできないソースアドレスのログ記録

Marsパケットは、Internet Assigned Numbers Authority(IANA)で特別な使用のために予約された送信元または宛先アドレスを指定するIPパケットに過ぎません。

以下は、これらのアドレスブロックの例です。

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • ::/128
  • ::/96
  • ::1/128

これを追跡するには、いくつかのオプションがあります。これを無視することも、ファイアウォールを介してブロックすることも、パケットの内容を使用またはtcpdump分析wiresharkして問題の原因を特定することもできます。

追加の説明とソース

これを検索すると表示される別のフレーズは次のとおりです。

これは、Linuxが元の方向から予期しないパケットです(つまり、内部ホストから外部インターフェイスに入るパケット)。原因は、LAN上のコンピュータの構成が誤っている可能性があります。これらのパケットを/proc/sys/net/ipv4/conf/interface/log_martians記録して記録を解除できます。 /usr/src/linux/Documentation/proc.txt

この段落の原文は見つかりませんが、検索してみるとお祝い的にたくさん出てきますね!これは、指定されていないインターフェイス(NIC)を介してシステムにパケットが入る問題を説明します。

最後に、このテーマについてWikipedia(Wikipedia)も引用します。このやはり上記のような内容を含んでいます。

火星パケットは、送信元または宛先アドレスを指定するIPパケットです。特別な用途に予約渡すインターネット割り当て番号機関(インターネット割り当て番号会社)。パブリックインターネットでは、これらのパケットは実際に要求されたとおりに生成または転送できません。1ただし、一部の予約済みアドレスは、そのアドレスが属する特別な目的の範囲に応じて、マルチキャストまたはプライベートネットワーク、ローカルリンク、またはループバックインターフェイスを使用してルーティングできます。2

火星パケットは、サービス拒否攻撃のIPアドレススプーフィングで発生することがよくあります。サムただし、ネットワークデバイスエラーまたはホスト設定エラーが原因で発生する可能性があります。1

引用する

関連情報