web-dev-qa-db-ja.com

martiansパケット(net.ipv4.conf.all.log_martiansなど)のロギングの有用性は何ですか?

ほとんどの場合、Linuxボックスなどの強化に関する検索を実行すると、リストには常に説明のない火星のパケット(IP)のログのセクションがあります。

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

私はいくつかグーグルを行いましたが、martiansパケットが攻撃のソースのようではないようです。誰かが光を当てることができますか?

ありがとうございました

17
black sensei

火星のパケットは、明らかに間違っている送信元アドレスを持つパケットです-そのアドレスに戻されることはおそらくありません。

例として、192.168.0.1の送信元アドレス(IANAで予約されたプライベートアドレススペースの1つに属するアドレス)を持つパブリックインターネット上のパケットが発見された場合が挙げられます。別の例としては、10.0.0.0/8プライベートアドレススペースのみを使用するプライベートネットワーク上の送信元アドレスが192.168.0.1のパケットがあります。

そのようなパケットは、それが現れるところはどこでも処理能力と帯域幅の浪費であるため、ネットワーク内でできるだけ早くパケットをブロックすることは、有益な方法と見なすことができます。

攻撃に関して、火星のパケットは、帯域幅と処理リソースを消費することを超えて、攻撃ペイロードが何であるかについてほとんど語っていません。ただし、実際のソースアドレスが存在しないため、ソースマシンを追跡するのは困難です(ネットワークパスの早い段階でパケットが破棄されないと仮定すると、martiansはDOS/DDOSの理想的な補完になります)。

誤った構成またはカスタマイズされていないデフォルトの構成は、おそらく武術の情報源です。

なぜ、火星のフィルタリングが悪い考えであるのか、動機づけをするのは非常に困難です。ロギングについては、少なくともまったく珍しいものではない誤設定を見つけるには良いかもしれませんが、それは各組織が決めることです。不要なログの乱雑さもまた、消費量が多く、煩わしいものです。

詳細 ここ

18
ErikE