ส่วนใหญ่เวลาที่ฉันทำการค้นหาใด ๆ เกี่ยวกับการแข็งของกล่องลินุกซ์และอื่น ๆ ในรายการมักจะมีส่วนของบันทึกของแพ็กเก็ต Martian (IP) โดยไม่มีคำอธิบายเพิ่มเติมใด ๆ
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
ฉันทำ Googling มาแล้ว แต่มันก็ดูเหมือนว่าชาวมาร์ทีนแพ็กเก็ตเป็นแหล่งโจมตีหรือไม่ ทุกคนสามารถหลั่งน้ำตาแสงได้หรือไม่
ขอขอบคุณ
คำตอบ:
แพ็กเก็ตดาวอังคารเป็นแพ็กเก็ตที่มีแหล่งที่อยู่ซึ่งผิดอย่างชัดเจน - ไม่มีสิ่งใดที่สามารถส่งกลับไปยังที่อยู่นั้นได้
ตัวอย่างคือหากค้นพบแพ็กเก็ตบนอินเทอร์เน็ตสาธารณะที่มีแหล่งที่อยู่ 192.168.0.1 ซึ่งเป็นที่อยู่ที่เป็นหนึ่งในพื้นที่ที่อยู่ส่วนตัวที่สงวนไว้ของ IANA อีกตัวอย่างหนึ่งอาจเป็นแพ็กเก็ตที่มีแหล่งที่อยู่ 192.168.0.1 บนเครือข่ายส่วนตัวโดยใช้พื้นที่ที่อยู่ส่วนตัว 10.0.0.0/8 เท่านั้น
แพ็คเก็ตดังกล่าวจะสูญเสียพลังในการประมวลผลและแบนด์วิดธ์ไม่ว่าจะปรากฏที่ใดการปิดกั้นแพ็คเก็ตให้เร็วที่สุดเท่าที่จะทำได้ในเครือข่ายอาจถือเป็นแนวทางปฏิบัติที่เป็นประโยชน์
เกี่ยวกับการโจมตีแพ็คเก็ตมาร์ตินบอกว่าเล็ก ๆ น้อย ๆ เกี่ยวกับสิ่งที่ปริมาณการโจมตีจะเกินกว่ามันจะใช้แบนด์วิดท์และทรัพยากรการประมวลผล อย่างไรก็ตามเครื่องต้นทางจะท้าทายในการติดตามเนื่องจากไม่มีแหล่งที่อยู่จริง (ทำให้ Martians เป็นส่วนประกอบที่สมบูรณ์แบบสำหรับ DOS / DDOS สมมติว่าแพ็กเก็ตไม่ได้ถูกทิ้งไว้ก่อนในเส้นทางเครือข่าย)
การกำหนดค่าผิดพลาดหรือการกำหนดค่าเริ่มต้นที่ไม่ได้กำหนดเป็นแหล่งที่มาของชาวมาร์ติน
ฉันมีความยากลำบากมากในการสร้างแรงบันดาลใจว่าทำไมการกรองดาวอังคารจึงเป็นความคิดที่ไม่ดี สำหรับการบันทึกมันอาจจะดีอย่างน้อยสำหรับการค้นหาสิ่งที่ไม่ผิดปกติ แต่ก็เป็นสิ่งที่แต่ละองค์กรต้องตัดสินใจ ความยุ่งเหยิงของล็อกที่ไม่จำเป็นก็ยังสิ้นเปลืองและสร้างความรำคาญเช่นกัน