/ var/log/messagesにこれらのメッセージが表示され続けます。
Mar 8 23:17:25 saas1 kernel: martian source 169.254.1.1 from 169.254.95.118, on dev usb0
Mar 8 23:17:25 saas1 kernel: ll header: ff:ff:ff:ff:ff:ff:00:21:5e:de:1b:be:08:06
5秒ごとに何度も何度もまったく同じ方法で別のレポートがあります。
私は169.254.95.118でwhoisを実行し、奇妙なメッセージを返しました:
http://whois.arin.net/rest/nets;q=169.254.95.118?showDetails=true&showARIN=false
This is the "link local" block. It was set
aside for this special use in the Standards
Track document, RFC 3927 and was further
documented in the Best Current Practice
RFC 5735, which can be found at:
http://www.rfc-editor.org/rfc/rfc3927.txt
http://www.rfc-editor.org/rfc/rfc5735.txt
It is allocated for communication between hosts
on a single link. Hosts obtain these addresses
by auto-configuration, such as when a DHCP
server cannot be found.
A router MUST NOT forward a packet with an IPv4
Link-Local source or destination address,
irrespective of the router's default route configuration
or routes obtained from dynamic routing protocols.
A router which receives a packet with an IPv4
Link-Local source or destination address MUST NOT
forward the packet. This prevents forwarding of
packets back onto the network segment from which
they originated, or to any other segment.
ネットワーク上のホストがDHCP経由でネットワークアドレスを取得できない場合、169.254.1.0〜169.254.254.255のアドレスが疑似ランダムに割り当てられる可能性があります。つまり、インターネットに接続していないインターフェースです。それがARINが伝えていることです。誰かがこのアドレスに何かを送信しようとした場合、それは火星のパケットと呼ばれます。
Usb0には何が接続されていますか?
USB0のIPアドレスを教えてくれませんが、リンクローカルサブネットにないので、リンクローカルからusb0に到着するパケットは「martian」になります。これは広く引用された外植です
これらは、Linuxが送信元の方向から期待しないパケットです(つまり、外部ホストからの内部ホストからのパケット)。原因はおそらくLAN上のマシンの設定ミスです。 /usr/src/linux/Documentation/proc.txtに記載されている/ proc/sys/net/ipv4/conf/interface/log_martiansを介してこれらのパケットのロギングをオフにすることができます
ウィキペディア: http://en.wikipedia.org/wiki/APIPA
必要に応じて、火星のロギングをオフにできます。
echo 0 > /proc/sys/net/ipv4/conf/{all,default}/log_martians
私は実際にはマーティアンのロギングをオフにしません。通常、攻撃者を攻撃から保護するために、運用マシンにログオンします。
数秒ごとに1回ヒットするのはおそらくマシンの設定が間違っていることですが、サーバーが攻撃された日には、ログに貴重な情報が記録されます。
最善の策は、ログを記録し続け、確認するマシンが多すぎない場合は、正しく構成されていないマシンを探します。近くにあるマシンである可能性があります。
マーティアンのロギングを停止することはお勧めしません。ただし、次のようにカーネルパラメータで修正を停止する必要がある場合。
Sysctlを編集して変更1を0に追加し、「ens192とens224」をご使用のインターフェース名に置き換えてください。これにより、マーティアンのロギングが停止します。
# vi /etc/sysctl.d/99-sysctl.conf
以下のように変更します。
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.ens192.log_martians = 0
net.ipv4.conf.ens224.log_martians = 0
実行して適用する
# sysctl -p /etc/sysctl.d/99-sysctl.conf
これが誰かのために役立つことを願っています。