web-dev-qa-db-ja.com

Linux-/ var / log / messagesの火星のソース

/ var/log/messagesにこれらのメッセージが表示され続けます。

Mar  8 23:17:25 saas1 kernel: martian source 169.254.1.1 from 169.254.95.118, on dev usb0
Mar  8 23:17:25 saas1 kernel: ll header: ff:ff:ff:ff:ff:ff:00:21:5e:de:1b:be:08:06

5秒ごとに何度も何度もまったく同じ方法で別のレポートがあります。

私は169.254.95.118でwhoisを実行し、奇妙なメッセージを返しました:

http://whois.arin.net/rest/nets;q=169.254.95.118?showDetails=true&showARIN=false

This is the "link local" block. It was set
aside for this special use in the Standards 
Track document, RFC 3927 and was further
documented in the Best Current Practice
RFC 5735, which can be found at:
http://www.rfc-editor.org/rfc/rfc3927.txt
http://www.rfc-editor.org/rfc/rfc5735.txt
It is allocated for communication between hosts 
on a single link. Hosts obtain these addresses 
by auto-configuration, such as when a DHCP 
server cannot be found.
A router MUST NOT forward a packet with an IPv4 
Link-Local source or destination address, 
irrespective of the router's default route configuration 
or routes obtained from dynamic routing protocols. 
A router which receives a packet with an IPv4 
Link-Local source or destination address MUST NOT 
forward the packet. This prevents forwarding of 
packets back onto the network segment from which 
they originated, or to any other segment.
5
edumike

ネットワーク上のホストがDHCP経由でネットワークアドレスを取得できない場合、169.254.1.0〜169.254.254.255のアドレスが疑似ランダムに割り当てられる可能性があります。つまり、インターネットに接続していないインターフェースです。それがARINが伝えていることです。誰かがこのアドレスに何かを送信しようとした場合、それは火星のパケットと呼ばれます。

Usb0には何が接続されていますか?

9
Bart De Vos

USB0のIPアドレスを教えてくれませんが、リンクローカルサブネットにないので、リンクローカルからusb0に到着するパケットは「martian」になります。これは広く引用された外植です

これらは、Linuxが送信元の方向から期待しないパケットです(つまり、外部ホストからの内部ホストからのパケット)。原因はおそらくLAN上のマシンの設定ミスです。 /usr/src/linux/Documentation/proc.txtに記載されている/ proc/sys/net/ipv4/conf/interface/log_martiansを介してこれらのパケットのロギングをオフにすることができます

5
user9517

ウィキペディア: http://en.wikipedia.org/wiki/APIPA

必要に応じて、火星のロギングをオフにできます。

echo 0 > /proc/sys/net/ipv4/conf/{all,default}/log_martians
3
pepoluan

私は実際にはマーティアンのロギングをオフにしません。通常、攻撃者を攻撃から保護するために、運用マシンにログオンします。

数秒ごとに1回ヒットするのはおそらくマシンの設定が間違っていることですが、サーバーが攻撃された日には、ログに貴重な情報が記録されます。

最善の策は、ログを記録し続け、確認するマシンが多すぎない場合は、正しく構成されていないマシンを探します。近くにあるマシンである可能性があります。

1
Benoit

マーティアンのロギングを停止することはお勧めしません。ただし、次のようにカーネルパラメータで修正を停止する必要がある場合。

Sysctlを編集して変更1を0に追加し、「ens192とens224」をご使用のインターフェース名に置き換えてください。これにより、マーティアンのロギングが停止します。

# vi /etc/sysctl.d/99-sysctl.conf

以下のように変更します。

net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.ens192.log_martians = 0
net.ipv4.conf.ens224.log_martians = 0

実行して適用する

# sysctl -p /etc/sysctl.d/99-sysctl.conf

これが誰かのために役立つことを願っています。

0
Babin Lonston