질문

질문

kernel: martian source일부 서버에서 eth0에 대한 로그 항목이 간헐적으로 표시됩니다 . 흥미롭게도 그들은 동일한 IP에서 왔습니다. 예를 들어:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

이는 일부 서버에서만 발생합니다. 그 중 eth0이 동일한 방식으로 구성된 약 60개가 있습니다(분명히 다른 IP).

이 문제를 추적하려면 무엇을 찾아야 합니까?

편집하다:

해당 인터페이스에 대한 경로가 기본 경로이므로 잘못된 인터페이스로 보내는 문제는 아닌 것 같습니다.

답변1

질문

오늘 화성 패킷이 내 커널 로그를 가득 채우는 것과 같은 문제에 직면했습니다. 모든 화성 패킷은 동일한 공용 IP 주소에서 eth0동일한 공용 IP 주소로 전송됩니다 eth0(실제 IP 및 헤더는 제거됨).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

ll header몇 가지 조사 끝에 화성 데이터 패킷 에 그 이유가 숨겨져 있다는 것을 깨달았습니다 .

이론

이더넷 연결에서 ll header대상 MAC 주소, 소스 MAC 주소 및 나머지 패킷 유형을 나타내는 ID를 포함하는 이더넷 유형 II 프레임의 시작 부분이 실제로 표시된다고 가정합니다.

이더넷 클래스 II 프레임 형식[1]

보시다시피 처음 6바이트는 대상 MAC 주소이고 다음 6바이트는 소스 MAC 주소이며 마지막 2바이트는 코드입니다. 일반적인 코드는 다음과 같습니다:

  • 08 00: IP 패킷
  • 86 dd: IPv6 패킷
  • 08 06: ARP 패킷

설명하다

내 예로 돌아갑니다.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

이것은 우리에게 말해줍니다.

  • 동일한 소스 및 대상 IP 주소를 사용하여 패킷이 수신되었습니다.
  • GG:HH:II:JJ:KK:LL내가 모르는 MAC 주소인 에서 보낸 것 입니다.
  • 목적지는 입니다 AA:BB:CC:DD:EE:FF. 이것은 내 MAC 주소입니다.
  • 이것은 IP 패킷( 08 00)입니다.

패킷의 소스 및 대상 IP 주소가 동일한 경우 동일한 네트워크 인터페이스를 통해 전송되어야 하지만 소스 및 대상 MAC는 다릅니다. 어떻게 그럴 수 있습니까?

따라서 패킷이 화성에서 오고 있으며 라우팅 문제가 있거나 네트워크 내의 시스템이 구성되었거나 누군가가 IP/MAC 주소를 스푸핑하려고 시도하고 있는 것이 분명합니다. 다음 단계는 문제의 소스 MAC 주소를 확인하는 것입니다.

답변2

에서 발췌Linux: 의심스러운 화성 패킷/라우팅할 수 없는 소스 주소 로깅

Mars 패킷은 IANA(Internet Assigned Numbers Authority)에서 특별한 사용을 위해 예약된 소스 또는 대상 주소를 지정하는 IP 패킷에 지나지 않습니다.

다음은 이러한 주소 블록의 예입니다.

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • ::/128
  • ::/96
  • ::1/128

이를 추적하려면 몇 가지 옵션이 있습니다. 이를 무시할 수도 있고, 방화벽을 통해 차단할 수도 있고, 패킷의 내용을 사용하거나 tcpdump분석 wireshark하여 문제의 원인을 파악할 수도 있습니다.

추가 설명 및 출처

이것을 검색하면 나타나는 또 다른 문구는 다음과 같습니다.

이는 Linux가 원래 방향에서 예상하지 못한 패킷입니다(즉, 내부 호스트에서 외부 인터페이스로 들어가는 패킷). 원인은 LAN에 있는 컴퓨터의 잘못된 구성일 수 있습니다. 이러한 패킷을 /proc/sys/net/ipv4/conf/interface/log_martians기록 하여 기록을 해제할 수 있습니다. /usr/src/linux/Documentation/proc.txt

이 문단의 원문은 못찾는데 검색해보시면 축어적으로 많이 나오네요! 이는 지정되지 않은 인터페이스(NIC)를 통해 시스템에 패킷이 들어가는 문제를 설명합니다.

마지막으로, 이 주제에 관해 위키피디아(Wikipedia)도 인용하겠습니다. 이 역시 위와 같은 내용을 담고 있습니다.

화성 패킷은 소스 또는 대상 주소를 지정하는 IP 패킷입니다.특별한 용도로 예약됨통과인터넷 할당 번호 기관(인터넷 할당 번호 회사). 공용 인터넷에서 볼 경우 이러한 패킷은 실제로 요청된 대로 생성되거나 전달될 수 없습니다.1그러나 일부 예약된 주소는 해당 주소가 속한 특수 목적 범위에 따라 멀티캐스트나 개인 네트워크, 로컬 링크 또는 루프백 인터페이스를 사용하여 라우팅될 수 있습니다.2

화성 패킷은 서비스 거부 공격의 IP 주소 스푸핑에서 발생하는 경우가 많습니다.그러나 네트워크 장치 오류나 호스트 구성 오류로 인해 발생할 수도 있습니다.1

인용하다

관련 정보