เราเห็นkernel: martian sourceรายการบันทึกเป็นระยะสำหรับ eth0 บนเซิร์ฟเวอร์ของเราสองสามครั้ง สิ่งที่น่าสนใจก็คือพวกเขาไปและกลับจาก IP เดียวกัน ตัวอย่างเช่น

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

สิ่งนี้จะเกิดขึ้นกับเซิร์ฟเวอร์สองตัวเท่านั้น มีประมาณ 60 ซึ่งมีการกำหนดค่า eth0 ในลักษณะเดียวกัน (IP ที่แตกต่างกันอย่างชัดเจน)

ฉันควรดูอะไรเพื่อติดตามสิ่งนี้

แก้ไข:

เส้นทางสำหรับอินเทอร์เฟซเฉพาะนี้เป็นเส้นทางเริ่มต้นดังนั้นฉันไม่คิดว่ามันเป็นเรื่องของการส่งอินเตอร์เฟซผิดไป

ปัญหา

ฉันพบปัญหาเดียวกันวันนี้ที่แพ็คเก็ตมาร์ตินท่วมบันทึกเคอร์เนลของฉัน แพ็กเก็ต martian ทั้งหมดมาจากที่อยู่eth0IP สาธารณะเดียวกันกับที่อยู่ IP สาธารณะเดียวกันของeth0(IP จริงและส่วนหัวถูกลบ)

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

หลังจากการวิจัยฉันรู้ว่าเหตุผลนั้นซ่อนอยู่ในll headerแพ็คเก็ตของดาวอังคาร

ทฤษฎี

สมมติว่านี้ในการเชื่อมต่ออีเธอร์เน็ตll headerจริง ๆ แล้วแสดงส่วนเริ่มต้นของเฟรม Ethernet Type II ซึ่งประกอบด้วยที่อยู่ MAC ปลายทางปลายทางที่อยู่ MAC แหล่งที่มาและรหัสบ่งชี้ชนิดของส่วนที่เหลือของแพ็คเก็ต

อย่างที่คุณเห็น 6 ไบต์แรกคือที่อยู่ MAC ปลายทาง, 6 ไบต์ถัดไปคือที่อยู่ MAC ต้นทางและรหัสใน 2 ไบต์สุดท้าย รหัสทั่วไปคือ:

• 08 00: แพ็คเก็ต IP
• 86 dd: IPv6 Packet
• 08 06: ARP Packet

คำอธิบาย

กลับไปที่ตัวอย่างของฉัน

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

สิ่งนี้บอกเราว่า

• มีแพ็กเก็ตที่ได้รับพร้อมกับแหล่งที่มาเดียวกันและที่อยู่ IP ปลายทาง
• มันถูกส่งโดยGG:HH:II:JJ:KK:LLซึ่งเป็นที่อยู่ MAC ที่ฉันไม่รู้
• ปลายทางคือAA:BB:CC:DD:EE:FFที่อยู่ MAC ของฉันเอง
• มันเป็นแพ็กเก็ต IP ( 08 00)

หากแพ็กเก็ตมีที่อยู่ IP ต้นทางและปลายทางเดียวกันจะต้องส่งโดยเครือข่ายอินเทอร์เฟซเดียวกัน แต่ MAC สำหรับแหล่งที่มาและปลายทางนั้นแตกต่างกัน! เป็นไปได้อย่างไร?

ดังนั้นจึงเป็นที่ชัดเจนว่าแพ็คเก็ตมาจากดาวอังคารทั้งที่มีปัญหาการเราต์เครื่องในเครือข่ายมีการกำหนดค่าหรือมีคนพยายามที่จะปลอมแปลงที่อยู่ IP / MAC ขั้นตอนต่อไปคือการตรวจสอบที่อยู่ MAC ของปัญหา

แพ็กเก็ต Martian ไม่ได้เป็นเพียงแค่ IP แพ็คเก็ตซึ่งระบุที่อยู่ต้นทางหรือปลายทางที่สงวนไว้สำหรับการใช้งานพิเศษโดยผู้มีอำนาจทางอินเทอร์เน็ตกำหนดหมายเลข (IANA)

นี่คือตัวอย่างของบล็อคที่อยู่ดังกล่าว:

• 10.0.0.0/8
• 127.0.0.0/8
• 224.0.0.0/4
• 240.0.0.0/4
• :: / 128
• :: / 96
• :: 1/128

เพื่อติดตามเรื่องนี้คุณมีหลายตัวเลือก คุณสามารถเพิกเฉยได้คุณสามารถบล็อกมันผ่านไฟร์วอลล์ของคุณหรือคุณสามารถใช้tcpdumpหรือwiresharkเพื่อแยกเนื้อหาของแพ็คเก็ตซึ่งจะทำให้คุณเข้าใจถึงสิ่งที่ทำให้เกิดสิ่งนี้

คำอธิบายและแหล่งข้อมูลเพิ่มเติม

อีกวลีหนึ่งที่ปรากฏขึ้นเมื่อคุณค้นหาสิ่งต่อไปนี้:

เหล่านี้เป็นแพ็กเก็ตที่ Linux ไม่ได้คาดหวังจากทิศทางที่มา (เช่นแพ็กเก็ตจากโฮสต์ภายในที่เข้ามาในอินเทอร์เฟซภายนอก) สาเหตุอาจเป็นเครื่องที่กำหนดค่าผิดพลาดใน LAN ของคุณ คุณสามารถปิดการบันทึกแพ็กเก็ตเหล่านั้นผ่านทาง /proc/sys/net/ipv4/conf/interface/log_martiansที่มีการบันทึกไว้ /usr/src/linux/Documentation/proc.txt

ฉันไม่สามารถหาแหล่งต้นฉบับของย่อหน้านี้ แต่ถ้าคุณค้นหามันจะแสดงมากคำต่อคำ! สิ่งนี้อธิบายถึงปัญหาเป็นแพ็กเก็ตที่เข้ามาในระบบบนอินเทอร์เฟซ (NIC) ซึ่งไม่ได้กำหนดว่าจะเข้ามาผ่าน

ในที่สุดฉันก็อ้างถึง Wikipedia ในหัวข้อนี้ด้วยเช่นกันซึ่งระบุไว้อย่างคร่าวๆเหมือนกับข้างต้น

แพ็กเก็ต Martian เป็นแพ็คเก็ต IP ซึ่งระบุที่อยู่ต้นทางหรือปลายทางที่สงวนไว้สำหรับการใช้งานพิเศษโดยAuthority Assigned Numbers (IANA) ของอินเทอร์เน็ต หากเห็นบนอินเทอร์เน็ตสาธารณะแพ็กเก็ตเหล่านี้ไม่สามารถเกิดขึ้นจริงตามที่อ้างสิทธิ์หรือถูกส่งมอบ ¹อย่างไรก็ตามที่อยู่ที่สงวนไว้บางอย่างสามารถกำหนดเส้นทางได้โดยใช้มัลติคาสต์หรือบนเครือข่ายส่วนตัวลิงค์ภายในเครื่องหรืออินเทอร์เฟซย้อนกลับขึ้นอยู่กับช่วงการใช้งานพิเศษที่อยู่ภายใน ²

แพ็คเก็ตดาวอังคารมักเกิดขึ้นจากการปลอมแปลงที่อยู่ IP ในการโจมตีแบบปฏิเสธการให้บริการ3แต่อาจเกิดจากอุปกรณ์เครือข่ายทำงานผิดปกติหรือการกำหนดค่าที่ผิดพลาดของโฮสต์ 1

อ้างอิง

• http://www.derkeiler.com/Mailing-Lists/securityfocus/focus-linux/2003-05/0002.html