동일한 IP로 /로부터의 커널 화성 소스

kernel: martian source서버 몇 대에서 eth0에 대한 로그 항목 이 간헐적으로 나타납니다 . 흥미로운 것은 그들이 같은 IP를 오가는 것입니다. 예를 들어 :

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

이것은 몇 대의 서버에서만 발생합니다. 같은 방식으로 eth0을 구성한 약 60 개가 있습니다 (다른 IP).

이것을 추적하기 위해 무엇을보고 있어야합니까?

편집하다:

이 특정 인터페이스의 경로는 기본 경로이므로 잘못된 인터페이스로 전송되는 문제는 아니라고 생각합니다.

networking ip

— 테일 리언
소스

답변:

문제

화성 패킷이 커널 로그에 넘쳐나는 동일한 문제가 오늘 발생했습니다. 모든 화성 패킷은 동일한 공용 IP 주소 eth0에서 동일한 공용 IP 주소까지입니다 eth0(실제 IP 및 헤더는 제거됨).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

몇 가지 연구를 한 결과 ll header화성 패킷 에 이유가 숨겨져 있음을 알았습니다 .

이론

이것을 이더넷 연결에서 가정하면 ll header실제로 대상 MAC 주소, 소스 MAC 주소 및 ID를 포함하는 이더넷 유형 II 프레임의 시작 부분이 표시되고 패킷의 나머지 부분 유형이 표시됩니다.

이더 네트 유형 II 프레임 형식 [1]

보시다시피 처음 6 바이트는 대상 MAC 주소이고 다음 6 바이트는 소스 MAC 주소이며 마지막 2 바이트의 코드입니다. 일반적인 코드는 다음과 같습니다.

08 00: IP 패킷
86 dd: IPv6 패킷
08 06: ARP 패킷

설명

내 예로 돌아 가기

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

이것은 우리에게 알려줍니다

SAME 소스 및 대상 IP 주소로 수신 된 패킷이있었습니다.
GG:HH:II:JJ:KK:LL내가 모르는 MAC 주소 인에 의해 전송되었습니다 .
대상은 AA:BB:CC:DD:EE:FF입니다. 내 MAC 주소입니다.
IP 패킷이었습니다 ( 08 00).

패킷의 소스 및 대상 IP 주소가 동일한 경우 동일한 네트워크 인터페이스를 통해 패킷을 보내야하지만 소스 및 대상의 MAC은 다릅니다! 어떻게 가능합니까?

따라서 패킷이 화성에서 나 왔으며, 라우팅 문제가 있거나, 네트워크 내에 머신이 구성되었거나, 누군가가 IP / MAC 주소를 스푸핑하려고 시도하고 있음이 분명합니다. 다음 단계는 해당 소스 MAC 주소를 확인하는 것입니다.

— 比尔盖子
소스

리눅스 발췌 : 의심스러운 화성 패킷 기록 및 라우팅 불가능한 소스 주소

Martian 패킷은 IANA (Internet Assigned Numbers Authority)에서 특수하게 사용하도록 예약 된 소스 또는 대상 주소를 지정하는 IP 패킷 일뿐입니다.

이러한 주소 블록의 예는 다음과 같습니다.

10.0.0.0/8

127.0.0.0/8

224.0.0.0/4

240.0.0.0/4

:: / 128

:: / 96

:: 1/128

이를 추적하기 위해 몇 가지 옵션이 있습니다. 그냥 무시하거나 방화벽을 통해 차단 tcpdump하거나 wireshark패킷의 내용을 사용 하거나 분석하여 원인을 파악할 수 있습니다.

추가 설명 및 출처

이를 검색 할 때 표시되는 다른 문구는 다음과 같습니다.

이것은 리눅스가 원래 방향에서 기대하지 않는 패킷입니다 (즉, 외부 인터페이스에서 들어오는 내부 호스트의 패킷). LAN의 시스템이 잘못 구성되었을 수 있습니다. /proc/sys/net/ipv4/conf/interface/log_martians문서화 된 패킷 로깅을 해제 할 수 있습니다 /usr/src/linux/Documentation/proc.txt

이 단락의 원래 출처를 찾을 수 없었지만 검색하면 많이 나타납니다! 이 문제는 시스템이 인터페이스 (NIC)를 통해 들어오는 것으로 지정되지 않은 패킷으로 설명합니다.

마지막으로이 주제에 대해서도 Wikipedia를 인용하겠습니다. 위의 주제와 거의 동일합니다.

화성 패킷되는 소스 또는 대상 주소를 지정하는 IP 패킷입니다 특수 사용하기 위해 예약 에 의해 인터넷 할당 번호 관리 기관 (IANA)를. 공용 인터넷에서 볼 경우 이러한 패킷은 실제로 청구 된대로 시작되거나 전달 될 수 없습니다. ⁽¹⁾ 그러나, 특정 예약 된 멀티 캐스트 주소를 이용하여 라우팅 될 수 있거나, 어떤 특수 용도의 범위가 속하는 따라 사설 네트워크, 로컬 링크 또는 루프백 인터페이스에. ²

화성 패킷은 일반적으로 서비스 거부 공격에 IP 주소 스푸핑에서 발생 3 뿐만 아니라 호스트의 네트워크 장비의 고장이나 잘못된에서 발생할 수 있습니다. 1

참고 문헌

http://www.derkeiler.com/Mailing-Lists/securityfocus/focus-linux/2003-05/0002.html

— slm
소스

그러나 좋은 설명은 ....이 블록의 사용은 특히 NAT 네트워크에서 매우 일반적입니다. 따라서 귀하의 설명에 따라이 메시지가 항상 표시 될 것으로 예상됩니다. 커널 메시지에 더 많은 일이 있습니다. 무엇을 알고 싶은지 알고 싶습니다.

— mdpc

@mdpc-추가 정보는 화성 패킷의 원인을 설명합니다. 추적 경로 동안 화성 패킷 (지금까지만)을 유발하는 라우팅 전략이 얼마나 손상 되었습니까?

— slm

tcpdump문제의 서버에서 24 시간 을 운영 할 것 입니다. 즉, 화성 패킷의 개념을 이해합니다. 내가 이해하지 못하는 것은 인터페이스가 자체 IP를 그렇게 고려하는 이유입니다.

— theillien

무의미한 대답.

— poige