GNU/Linux >> Linux の 問題 >  >> Cent OS

「/var/log/messages」が Martian パケットを報告する理由

以下に示すように、/var/log/messages ファイルにエントリがあります:

# tailf /var/log/messages
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev eth0
Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
Aug 22 11:08:22 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 11:08:22 server kernel: ll header: 08:00:00:00:45:00:00:6c:00:00:40:00:40:11:9f:aa:c0:a8:0c:c6:c0:a8:0c:c0
Aug 22 12:11:27 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 12:11:27 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:16:c0:a8:0c:c6:c0:a8:0c:c0

マーシャン パケットとは

IANA では、Martian パケットを、インターフェイスがそのネットワークを使用しないインターフェイスに到着するパケットとして定義しています。 Linux の場合、それは、そのサブネット用に構成されていないインターフェイスに到着するすべてのパケットです。火星のパケット通知はすべて調査する必要があります。火星のパケット:

  • ハッキング侵入に頻繁に使用されます。
  • ネットワーク上の別の場所にあるサーバーの設定が間違っている可能性があります。
  • ネットワーク インフラストラクチャの問題を示している可能性があります。

火星のメッセージを読む

火星のソース メッセージは次のようにレイアウトされます:

kernel: martian source [destination IP] from [source IP], on dev [interface packet arrived on]
kernel: ll header: [destination MAC address]:[source MAC address]:[ethertype]  (for ethernet)

たとえば、次のメッセージがあるとします:

kernel: martian source 192.168.0.1 from 192.168.0.255, on dev eth0
kernel: ll header: ff:ff:ff:ff:ff:ff:00:12:34:00:ab:cd:08:00

ここで、
宛先 IP :192.168.0.1
ソース IP :192.168.0.255
着信インターフェース :eth0
宛先 MAC :ff:ff:ff:ff:ff:ff
ソース MAC :00:12:34:00:ab:cd
イーサタイプ :0x0800 (IPv4)

火星のメッセージを有効にする

/etc/sysctl.conf ファイル内の構成項目で Martial Message の検出が無効になっている場合は、それらを有効にして sysctl プログラムを再実行する必要があります。チェックするサンプル エントリは次のとおりです。

# vi /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.conf.bondib0.log_martians=1

結論

火星のソース メッセージは、ネットワーク環境の問題を示している可能性があります。調査することをお勧めします:

  • ネットワークにレイヤー 2 ループはありません。ホストがパケットを送信し、ネットワークからこのパケットのコピーを受信すると、martian としてログに記録されます
  • マルチキャスト IP やブロードキャスト IP など、使用してはならない送信元 IP でトラフィックを送信するホストはありません
  • サブネット内のすべてのシステムのネットワーク アドレッシングが正しく適用され、有効であること。すべてのホストに有効な IP アドレスと正しいサブネット マスク (別名ネットワーク プレフィックス) が必要です。


Cent OS

  1. Linuxは複数の連続したパスセパレーター(/ home //// username /// file)をどのように処理しますか?

  2. 監査されたメッセージが /var/log/messages をいっぱいにする

  3. /var/log/messages ファイルの「segfault」メッセージとは

  1. find -exec mv {} ./target/ + が機能しないのはなぜですか?

  2. /var/www/... の Django static_root - collectstatic へのアクセス許可がありません

  3. logrotate は /var/log/messages を圧縮しません

  1. /var/log/messages、/var/log/syslog、および/var/log/kern.logの違いは?

  2. CentOS / RHEL 7 で systemd-tmpfiles が /tmp/ または /var/tmp (tmpwatch の置き換え) をクリーンアップする方法

  3. システム ログが空です (/var/log/messages; /var/log/secure; など)