来自我公共IP的火星人资料
这些天,我在kern.log中收到了一些火星数据包:
Jul 7 02:28:20 box14932 kernel: [789192.798073] IPv4: martian source XXX.XXX.XXX.XXX from 10.91.12.01, on dev eth1
Jul 7 02:28:20 box14932 kernel: [789192.798095] ll header: 00000000: 44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00 D.BB.......Y..
Jul 7 04:29:12 box14932 kernel: [798267.423393] IPv4: martian source XXX.XXX.XXX.XXX from 10.91.20.10, on dev eth1
Jul 7 04:29:12 box14932 kernel: [798267.423401] ll header: 00000000: 44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00 D.BB.......Y..
Jul 7 04:29:12 box14932 kernel: [798267.423408] IPv4: martian source XXX.XXX.XXX.XXX from 10.91.20.10, on dev eth1
Jul 7 04:29:12 box14932 kernel: [798267.423410] ll header: 00000000: 44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00 D.BB.......Y..源“XXX.XXX”是我的服务器的公共IP地址。
我在谷歌上搜索,我还没有真正找到它是什么。这是欺骗攻击还是我的服务器上的网络配置问题?
我的服务器上有两个接口:
- eth1是主接口(公共IP)
- eth2是一个RPN接口(真正的专用网络,因此没有连接到公共网络),其IP地址从10.91开始。
- 这显然是回过头来的。
下面是我的sysctl.conf配置,rp_filter=1和log_martians=1:
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0有人能帮我吗?我该担心这些火星人吗?
对于添加iptables规则以删除和记录数据包,您会怎么说,比如:
-A INPUT -i -s 10.0.0.0/8 ENO1 j DROP非常感谢你的帮助
回答 2
Server Fault用户
发布于 2016-07-07 12:59:43
您应该能够通过检查嵌入在数据"44 a8 12 41D2b138b9c ab 34 891000“中的MAC地址来找到源。44:a8:12:41:1d:2b应该是你接口的MAC地址。13:8b:9c:ab:34:89应该是远程设备的MAC地址。
尝试检查您的缓存,看看您是否有其他地址的这些MAC地址。arp -a应该是要使用的命令。
要检查设备的MAC地址,请使用ip link show或ifconfig。
Server Fault用户
发布于 2016-07-07 12:08:58
火星源遇到的许多问题都是由于网络地形的考虑引起的。可能需要解决以下问题:
- 路由器:路由器可能通过非法地址进行路由,确保路由器配置正确。
- 多个NICS:如果一台计算机有多个NIC卡插入同一个开关,那么可能会显示它的火星源(这是最常见的原因)。
- 防火墙:是否有允许不适当流量进入的防火墙?
- IP地址:您使用的是多播还是E类网络地址?
- 其他计算机:其他服务器或工作站MAC地址负责吗?
潜在解决方案相同子网上的多个NIC:同一子网上的多个NIC是最常见的原因。如果必须在同一子网上有多个NIC,请使用托管交换机。除了一张网卡之外,还可以通过关闭所有网卡来测试这一点;如果消息消失了,那么您可以假设多个网卡是造成这种情况的原因。另一种解决办法是将净工业化国家联系在一起。一般来说,适当配置的网络不应该要求多个NIC在同一子网上,除非是在键合的情况下。将日志关闭到内核:如果您能够确定火星源与安全问题无关,那么您可以关闭火星源日志。请注意,您必须确保网络是安全的,并且这些消息的来源不是来自路由器。
- 在
/etc/sysconfig/sysctl add "net.ipv4.conf..log_martians=0"中 - 确保"
sysctl“设置为"chkconfig boot.sysctl on”在引导时运行
https://serverfault.com/questions/788439
复制相似问题
腾讯云开发者
