कर्नेल मार्टियन स्रोत और उसी IP से

13

हम kernel: martian sourceअंत में हमारे सर्वर के एक जोड़े पर eth0 के लिए लॉग प्रविष्टियों को देख रहे हैं । दिलचस्प बात यह है कि वे एक ही आईपी से और उसके लिए हैं। उदाहरण के लिए:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

यह केवल कुछ सर्वरों पर होता है। लगभग 60 हैं जिनके पास एक ही तरीके से eth0 कॉन्फ़िगर किया गया है (अलग-अलग आईपी, जाहिर है)।

इसे नीचे ट्रैक करने के लिए मुझे क्या देखना चाहिए?

संपादित करें:

इस विशेष इंटरफ़ेस का मार्ग डिफ़ॉल्ट मार्ग है, इसलिए मुझे नहीं लगता कि यह गलत इंटरफ़ेस को भेजे जाने का मामला है।

networking  ip 
theillien
स्रोत

जवाबों:

16

संकट

मुझे आज उसी समस्या का सामना करना पड़ा, जहां शहीद पैकेट ने मेरी कर्नेल लॉग को भर दिया। सभी मार्टियन पैकेट एक ही सार्वजनिक आईपी पते के eth0समान सार्वजनिक आईपी पते से हैं eth0(वास्तविक आईपी और हेडर हटा दिया गया है)।

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

कुछ शोध के बाद, मुझे एहसास हुआ कि इसका कारण ll headerशहीद पैकेट में छिपा है ।

सिद्धांत

इसे ईथरनेट कनेक्शन में मानते हुए, ll headerवास्तव में ईथरनेट टाइप II फ़्रेम का शुरुआती हिस्सा दिखाता है, जिसमें गंतव्य मैक पता, स्रोत मैक पता और एक आईडी पैकेट के बाकी हिस्से के प्रकार को इंगित करता है।

ईथरनेट प्रकार II फ़्रेम प्रारूप [1]

जैसा कि आप देखते हैं, पहले 6 बाइट्स गंतव्य मैक पते हैं, अगले 6 बाइट्स स्रोत मैक पते हैं, और अंतिम 2 बाइट्स में एक कोड है। आम कोड हैं:

  • 08 00: आईपी पैकेट
  • 86 dd: IPv6 पैकेट
  • 08 06: एआरपी पैकेट

व्याख्या

वापस मेरे उदाहरण पर।

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

यह हमें बताता है,

  • वहाँ एक पैकेट SAME स्रोत और गंतव्य IP पते के साथ प्राप्त किया गया था।
  • यह द्वारा भेजा गया था GG:HH:II:JJ:KK:LL, जो एक मैक पता है जो मुझे नहीं पता है।
  • इसका गंतव्य है AA:BB:CC:DD:EE:FF, जो मेरा अपना मैक एड्रेस है।
  • यह एक आईपी पैकेट ( 08 00) था।

यदि किसी पैकेट में समान स्रोत और गंतव्य IP पते हैं, तो उसे उसी नेटवर्क इंटरफ़ेस द्वारा भेजा जाना चाहिए, लेकिन स्रोत और गंतव्य के लिए MACs भिन्न होते हैं! यह कैसे संभव हो सकता है?

इस प्रकार, यह स्पष्ट है कि पैकेट मंगल से आता है, या तो कुछ रूटिंग समस्याएं हैं, नेटवर्क के भीतर एक मशीन कॉन्फ़िगर की गई है, या कोई व्यक्ति आईपी / मैक पते को खराब करने की कोशिश कर रहा है। अगला चरण प्रश्न में स्रोत मैक पते की जांच कर रहा है।

比尔 盖子
स्रोत
9
लिनक्स से अंश : संदेहास्पद मार्टियन पैकेट / अन-रूटेबल सोर्स एड्रेस लॉग करें

एक मार्टियन पैकेट एक आईपी पैकेट के अलावा कुछ भी नहीं है जो एक स्रोत या गंतव्य पते को निर्दिष्ट करता है जो इंटरनेट असाइन किए गए नंबर प्राधिकरण (आईएएनए) द्वारा विशेष उपयोग के लिए आरक्षित है।

इस तरह के पते ब्लॉक के उदाहरण हैं:

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • :: / 128
  • :: / 96
  • :: 1/128

इसे नीचे ट्रैक करने के लिए आपके पास कई विकल्प हैं। आप इसे अनदेखा कर सकते हैं, आप इसे अपने फ़ायरवॉल के माध्यम से ब्लॉक कर सकते हैं, या आप पैकेट की सामग्री का उपयोग tcpdumpया wiresharkविच्छेद कर सकते हैं, जो संभवतः आपको इस बात का बोध कराएगा कि यह क्या कारण है।

अतिरिक्त विवरण और स्रोत

एक अन्य वाक्यांश जो आपके द्वारा खोजे जाने पर दिखाई देता है वह निम्नलिखित है:

ये ऐसे पैकेट हैं जो लिनक्स उस दिशा से उम्मीद नहीं करते हैं जो वे आए थे (यानी आंतरिक इंटरफ़ेस पर आने वाले आंतरिक होस्ट से पैकेट)। इसका कारण संभवतः आपके LAN पर एक गलत संरचना वाली मशीन है। आप उन पैकेटों को लॉग इन करना बंद कर सकते हैं /proc/sys/net/ipv4/conf/interface/log_martiansजिनके द्वारा दस्तावेज किया गया है /usr/src/linux/Documentation/proc.txt

मुझे इस पैराग्राफ का मूल स्रोत नहीं मिला, लेकिन यदि आप इसे खोजते हैं, तो यह बहुत कुछ दिखाता है, शब्दशः! यह समस्या को एक पैकेट के रूप में बताता है जो एक अंतरफलक (NIC) पर सिस्टम में आया है कि इसे अंदर आने के लिए निर्दिष्ट नहीं किया गया है।

अंत में मैं इस विषय पर विकिपीडिया का हवाला देता हूँ, जो कि उपरोक्त के समान ही है।

मार्टियन पैकेट एक आईपी पैकेट है जो एक स्रोत या गंतव्य पते को निर्दिष्ट करता है जो इंटरनेट असाइन किए गए नंबर प्राधिकरण (आईएएनए) द्वारा विशेष उपयोग के लिए आरक्षित है । यदि सार्वजनिक इंटरनेट पर देखा जाता है, तो ये पैकेट वास्तव में दावे के अनुसार उत्पन्न नहीं हो सकते हैं, न ही वितरित किए जा सकते हैं। 1 हालांकि, कुछ आरक्षित पते मल्टीकास्ट, या निजी नेटवर्क, स्थानीय लिंक या लूपबैक इंटरफेस का उपयोग करके रूट किए जा सकते हैं, जिसके आधार पर वे विशेष-उपयोग सीमा के भीतर आते हैं। 2

मार्टियन पैकेट आमतौर पर आईपी पते से उत्पन्न होता है, जो सेवा से इनकार करने वाले हमलों में खराब होता है , 3 लेकिन नेटवर्क उपकरण की खराबी या किसी मेजबान की गलत धारणा से भी उत्पन्न हो सकता है। 1

संदर्भ

slm
स्रोत
हालांकि अच्छा स्पष्टीकरण .... इन ब्लॉकों का उपयोग विशेष रूप से NAT'd नेटवर्क के पीछे बहुत आम है। इस प्रकार, आपके स्पष्टीकरण के आधार पर, मैं इन संदेशों को हर समय देखने की अपेक्षा करता हूं। इसलिए कर्नेल संदेश में कुछ और चल रहा है, मुझे यह जानने में दिलचस्पी होगी।
mdpc
@mdpc - अतिरिक्त जानकारी में मार्टियन पैकेट के कारण का वर्णन किया गया है: कैसे
slm
1
हम tcpdumpविचाराधीन सर्वर पर 24 घंटे चलने वाले हैं । उन्होंने कहा, मैं एक मार्टियन पैकेट की अवधारणा को समझता हूं। जो मुझे समझ नहीं आ रहा है, वह यह है कि एक इंटरफ़ेस अपने स्वयं के आईपी को इस तरह से क्यों मानेगा।
जिलियन
वास्तव में व्यर्थ उत्तर।
पोइज
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.