kernel: martian source
일부 서버에서 eth0에 대한 로그 항목이 간헐적으로 표시됩니다 . 흥미롭게도 그들은 동일한 IP에서 왔습니다. 예를 들어:
Nov 4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171
이는 일부 서버에서만 발생합니다. 그 중 eth0이 동일한 방식으로 구성된 약 60개가 있습니다(분명히 다른 IP).
이 문제를 추적하려면 무엇을 찾아야 합니까?
편집하다:
해당 인터페이스에 대한 경로가 기본 경로이므로 잘못된 인터페이스로 보내는 문제는 아닌 것 같습니다.
답변1
질문
오늘 화성 패킷이 내 커널 로그를 가득 채우는 것과 같은 문제에 직면했습니다. 모든 화성 패킷은 동일한 공용 IP 주소에서 eth0
동일한 공용 IP 주소로 전송됩니다 eth0
(실제 IP 및 헤더는 제거됨).
IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00
ll header
몇 가지 조사 끝에 화성 데이터 패킷 에 그 이유가 숨겨져 있다는 것을 깨달았습니다 .
이론
이더넷 연결에서 ll header
대상 MAC 주소, 소스 MAC 주소 및 나머지 패킷 유형을 나타내는 ID를 포함하는 이더넷 유형 II 프레임의 시작 부분이 실제로 표시된다고 가정합니다.
보시다시피 처음 6바이트는 대상 MAC 주소이고 다음 6바이트는 소스 MAC 주소이며 마지막 2바이트는 코드입니다. 일반적인 코드는 다음과 같습니다:
08 00
: IP 패킷86 dd
: IPv6 패킷08 06
: ARP 패킷
설명하다
내 예로 돌아갑니다.
IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00
이것은 우리에게 말해줍니다.
- 동일한 소스 및 대상 IP 주소를 사용하여 패킷이 수신되었습니다.
GG:HH:II:JJ:KK:LL
내가 모르는 MAC 주소인 에서 보낸 것 입니다.- 목적지는 입니다
AA:BB:CC:DD:EE:FF
. 이것은 내 MAC 주소입니다. - 이것은 IP 패킷(
08 00
)입니다.
패킷의 소스 및 대상 IP 주소가 동일한 경우 동일한 네트워크 인터페이스를 통해 전송되어야 하지만 소스 및 대상 MAC는 다릅니다. 어떻게 그럴 수 있습니까?
따라서 패킷이 화성에서 오고 있으며 라우팅 문제가 있거나 네트워크 내의 시스템이 구성되었거나 누군가가 IP/MAC 주소를 스푸핑하려고 시도하고 있는 것이 분명합니다. 다음 단계는 문제의 소스 MAC 주소를 확인하는 것입니다.
답변2
Mars 패킷은 IANA(Internet Assigned Numbers Authority)에서 특별한 사용을 위해 예약된 소스 또는 대상 주소를 지정하는 IP 패킷에 지나지 않습니다.
다음은 이러한 주소 블록의 예입니다.
- 10.0.0.0/8
- 127.0.0.0/8
- 224.0.0.0/4
- 240.0.0.0/4
- ::/128
- ::/96
- ::1/128
이를 추적하려면 몇 가지 옵션이 있습니다. 이를 무시할 수도 있고, 방화벽을 통해 차단할 수도 있고, 패킷의 내용을 사용하거나 tcpdump
분석 wireshark
하여 문제의 원인을 파악할 수도 있습니다.
추가 설명 및 출처
이것을 검색하면 나타나는 또 다른 문구는 다음과 같습니다.
이는 Linux가 원래 방향에서 예상하지 못한 패킷입니다(즉, 내부 호스트에서 외부 인터페이스로 들어가는 패킷). 원인은 LAN에 있는 컴퓨터의 잘못된 구성일 수 있습니다. 이러한 패킷을
/proc/sys/net/ipv4/conf/interface/log_martians
기록 하여 기록을 해제할 수 있습니다./usr/src/linux/Documentation/proc.txt
이 문단의 원문은 못찾는데 검색해보시면 축어적으로 많이 나오네요! 이는 지정되지 않은 인터페이스(NIC)를 통해 시스템에 패킷이 들어가는 문제를 설명합니다.
마지막으로, 이 주제에 관해 위키피디아(Wikipedia)도 인용하겠습니다. 이 역시 위와 같은 내용을 담고 있습니다.
화성 패킷은 소스 또는 대상 주소를 지정하는 IP 패킷입니다.특별한 용도로 예약됨통과인터넷 할당 번호 기관(인터넷 할당 번호 회사). 공용 인터넷에서 볼 경우 이러한 패킷은 실제로 요청된 대로 생성되거나 전달될 수 없습니다.1그러나 일부 예약된 주소는 해당 주소가 속한 특수 목적 범위에 따라 멀티캐스트나 개인 네트워크, 로컬 링크 또는 루프백 인터페이스를 사용하여 라우팅될 수 있습니다.2
화성 패킷은 서비스 거부 공격의 IP 주소 스푸핑에서 발생하는 경우가 많습니다.삼그러나 네트워크 장치 오류나 호스트 구성 오류로 인해 발생할 수도 있습니다.1