服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 火星人来自我的公共知识产权
Intereting Posts
创build没有电子邮件的Windows SBS 2008用户帐户 Server 2008卡在update-configure-fail-restart循环中 php-fpm:更快接受连接的瓶颈是什么? ssh连接永远发起,卡在“服务:networking” 如何检查一个服务器是否支持xmpp协议? fs创build后是否可以启用在线resize? Tomcat 7 + apache2代理转发导致网站资源丢失 Ubuntu 12.04.2 LTS服务器 – 随机挂起,没有日志logging URL中的特殊字符会导致自定义redirect失败 XenServer 6.2 DomU下的ext4根文件系统损坏 无论如何,用imapsync使用rsa证书authentication 任务计划程序作为隐藏运行,如何使其可见? 如何在不同的服务器上将不同的SCSI硬盘放回原始的RAIDarrays中? 从Linux更改Windows远程系统密码 Linux的策略路由 – 数据包不回来

火星人来自我的公共知识产权

这几天我在kern.log中得到一些火星包: 

Jul 7 02:28:20 box14932 kernel: [789192.798073] IPv4: martian source XXX.XXX.XXX.XXX from 10.91.12.01, on dev eth1 Jul 7 02:28:20 box14932 kernel: [789192.798095] ll header: 00000000: 44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00 D.BB.......Y.. Jul 7 04:29:12 box14932 kernel: [798267.423393] IPv4: martian source XXX.XXX.XXX.XXX from 10.91.20.10, on dev eth1 Jul 7 04:29:12 box14932 kernel: [798267.423401] ll header: 00000000: 44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00 D.BB.......Y.. Jul 7 04:29:12 box14932 kernel: [798267.423408] IPv4: martian source XXX.XXX.XXX.XXX from 10.91.20.10, on dev eth1 Jul 7 04:29:12 box14932 kernel: [798267.423410] ll header: 00000000: 44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00 D.BB.......Y..

源“XXX.XXX.XXX.XXX”是我的服务器的公共IP地址。

我在Google上search,我还没有真正发现它是什么。 这是一个恶搞攻击或简单地在我的服务器上的networkingconfiguration问题?

我在我的服务器上有两个接口:

  • eth1是主界面(公网IP)
  • eth2是一个RPN接口(真正的专用networking,因此不连接到公共networking),其IP地址以10.91开头。
  • 显然是回环的。

这是我的sysctl.confconfiguration,其中rp_filter = 1和log_martians = 1: 

 # Log Martians net.ipv4.conf.all.log_martians = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 # IP Spoofing protection net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # Disable source packet routing net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0 # Ignore send redirects net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # Block SYN attacks net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 # Ignore ICMP redirects net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0

有人能帮我吗? 我应该担心这些火星吗?

你如何将iptables规则添加到DROP和LOG数据包中,如下所示: 

 -A INPUT -i -s 10.0.0.0/8 ENO1 j DROP

非常感谢您的帮助

您应该能够通过检查embedded在数据“44 a8 12 41 1d 2b 13 8b 9c ab 34 89 10 00”中的MAC地址来find源。 44:a8:12:41:1d:2b应该是你的接口的MAC地址。 13:8b:9c:ab:34:89应该是远程设备的MAC地址。

尝试检查您的caching,看看是否有任何其他地址的MAC地址。 arp -a应该是使用的命令。

要检查您的设备的MAC地址,请使用ip link showifconfig

火星源经历的许多问题是由networking拓扑结构考虑引起的。 以下可能需要解决:

  • 路由器:路由器可能通过非法地址路由; 确保路由器configuration正确。
  • 多个NICS:如果一台计算机有多个NIC卡插入同一台交换机,则可能会显示火星源(这是最常见的原因)。
  • 防火墙:有防火墙允许不适当的stream量?
  • IP地址:您使用多播还是E类networking地址?
  • 其他电脑:其他服务器或工作站的MAC地址是否负责?

潜在的解决scheme

同一子网上的多个NIC :同一子网上的多个NIC是最常见的原因。 如果您必须在同一子网上有多个NIC,请使用受pipe理的交换机。 这可以通过除了一个网卡外的所有网卡进行testing。 如果消息消失,则可以假定多个NIC是原因。 另一个解决scheme是将NIC连接在一起。 一般而言,正确configuration的networking不应该要求多个NIC位于相同的子网上,除了绑定的情况。

closureslogging到内核:如果你能确定火星源与安全问题无关,那么你可以closures火星源logging。 请注意,您必须确保您确定networking安全,并且这些消息的来源不是来自路由器。

  • /etc/sysconfig/sysctl add "net.ipv4.conf..log_martians=0"

  • 确保“ sysctl ”设置为在启动时通过“ chkconfig boot.sysctl on ”运行

火星人发现消息日志中显示的错误