同じIPとの間のカーネル火星のソース

12

kernel: martian source数台のサーバーでeth0のログエントリが断続的に表示されています。興味深いのは、それらが同じIPとの間でやり取りされることです。例えば:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

これは、いくつかのサーバーでのみ発生します。eth0が同じ方法で構成されている(明らかにIPが異なる)約60があります。

これを追跡するには何を見るべきですか?

編集:

この特定のインターフェイスのルートはデフォルトルートであるため、間違ったインターフェイスから送信される問題ではないと思います。

networking  ip 
theillien
ソース

回答:

15

問題

今日、同じ問題に遭遇しました。そこでは、火星のパケットが私のカーネルログをあふれさせました。すべての火星のパケットは、同じパブリックIPアドレスeth0から同じパブリックIPアドレスまでですeth0(実際のIPとヘッダーは削除されます)。

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

いくつかの調査の後、私はその理由がll header火星のパケットに隠されていることに気付きました。

理論

イーサネット接続でこれを想定すると、ll header実際には、宛先MACアドレス、送信元MACアドレス、およびパケットの残りの部分のタイプを示すIDを含むイーサネットタイプIIフレームの開始部分が表示されます。

イーサネットタイプIIフレームフォーマット[1]

ご覧のとおり、最初の6バイトは宛先MACアドレス、次の6バイトは送信元MACアドレス、最後の2バイトのコードです。一般的なコードは次のとおりです。

  • 08 00:IPパケット
  • 86 dd:IPv6パケット
  • 08 06:ARPパケット

説明

私の例に戻ります。

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

これは私たちに伝えます、

  • 同じ送信元および宛先IPアドレスでパケットが受信されました。
  • 送信元GG:HH:II:JJ:KK:LLは、知らないMACアドレスです。
  • 宛先はでAA:BB:CC:DD:EE:FF、これは自分のMACアドレスです。
  • IPパケット(08 00)でした。

パケットの送信元IPアドレスと宛先IPアドレスが同じ場合、同じネットワークインターフェースで送信する必要がありますが、送信元と宛先のMACは異なります!どうしてそれが可能ですか?

したがって、パケットが火星から来ていること、ルーティングの問題があるか、ネットワーク内のマシンが構成されているか、誰かがIP / MACアドレスをスプーフィングしようとしていることは明らかです。次のステップでは、問題の送信元MACアドレスを確認します。

比尔盖子
ソース
9
Linuxからの抜粋:疑わしい火星のパケット/ルーティングできない送信元アドレスのログ

火星のパケットは、Internet Assigned Numbers Authority(IANA)による特別な使用のために予約されている送信元または宛先アドレスを指定するIPパケットに他なりません。

そのようなアドレスブロックの例を次に示します。

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • :: / 128
  • :: / 96
  • :: 1/128

これを追跡するには、いくつかのオプションがあります。無視するか、ファイアウォール経由でブロックするtcpdumpか、またはwireshark、パケットの内容を、パケットの内容を分析することで、この原因を突き止める。

追加の説明とソース

これを検索すると表示されるもう1つのフレーズは次のとおりです。

これらは、Linuxが送信元の方向から予期していないパケットです(つまり、外部インターフェースに着信する内部ホストからのパケット)。原因は、おそらくLAN上のマシンの構成ミスです。/proc/sys/net/ipv4/conf/interface/log_martiansで文書化されて いるパケットのログをオフにすることができます /usr/src/linux/Documentation/proc.txt

私はこの段落の元のソースを見つけることができませんでしたが、それを検索すると、一目瞭然です!これは、問題を、通過するように指定されていないインターフェース(NIC)でシステムに入ったパケットとして説明します。

最後に、このトピックについてもウィキペディアを引用しますが、これも上記とほぼ同じです。

火星のパケットは、Internet Assigned Numbers Authority(IANA)による特別な使用のために予約されている送信元または宛先アドレスを指定するIPパケットです。公共のインターネットで見られる場合、これらのパケットは実際に要求されたとおりに発信することも配信することもできません。1ただし、特定の予約済みアドレスは、マルチキャストを使用してルーティングするか、プライベートネットワーク、ローカルリンク、またはループバックインターフェイスにルーティングすることができます。2

火星のパケットは、通常、サービス拒否攻撃のIPアドレススプーフィングから発生します3が、ネットワーク機器の誤動作やホストの設定ミスからも発生する可能性があります。1

参照資料

slm
ソース
しかし、これらのブロックの使用は、特にNATされたネットワークの背後でかなり一般的である傾向があります。したがって、あなたの説明に基づいて、これらのメッセージは常に表示されると思います。そのため、カーネルメッセージにはさらに何かが起こっているので、何を知りたいと思います。
mdpc 14年
slm
1
tcpdump問題のサーバーで24時間稼働します。とはいえ、私は火星のパケットの概念を理解しています。私が理解していないのは、インターフェイスが独自のIPをそのように考える理由です。
theillien
事実無意味な答え。
poige
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.