GNU/Linux >> Znalost Linux >  >> Cent OS

Proč „/var/log/messages“ hlásí marťanské pakety

V souboru /var/log/messages jsou položky, jak je uvedeno níže:

# tailf /var/log/messages
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev eth0
Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
Aug 22 11:08:22 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 11:08:22 server kernel: ll header: 08:00:00:00:45:00:00:6c:00:00:40:00:40:11:9f:aa:c0:a8:0c:c6:c0:a8:0c:c0
Aug 22 12:11:27 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 12:11:27 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:16:c0:a8:0c:c6:c0:a8:0c:c0

Co je to marťanský balíček?

IANA definuje marťanský paket jako ten, který dorazí na rozhraní, kde rozhraní tuto síť nepoužívá. Pro Linux je to jakýkoli paket, který dorazí na rozhraní, které není pro tuto podsíť žádným způsobem nakonfigurováno. Jakékoli upozornění na marťanský paket by mělo být prozkoumáno. Marsovské pakety:

  • Často se používají při vniknutí hackerů.
  • Může být příznakem nesprávně nakonfigurovaného serveru jinde v síti.
  • Může znamenat problém s infrastrukturou sítě.

Čtení marťanských zpráv

Marťanská zdrojová zpráva je uspořádána následovně:

kernel: martian source [destination IP] from [source IP], on dev [interface packet arrived on]
kernel: ll header: [destination MAC address]:[source MAC address]:[ethertype]  (for ethernet)

Například vzhledem ke zprávě:

kernel: martian source 192.168.0.1 from 192.168.0.255, on dev eth0
kernel: ll header: ff:ff:ff:ff:ff:ff:00:12:34:00:ab:cd:08:00

Zde
Adresa IP cíle :192.168.0.1
Zdrojová IP :192.168.0.255
Příchozí rozhraní :eth0
Cíl MAC :ff:ff:ff:ff:ff:ff
Zdroj MAC :00:12:34:00:ab:cd
Ethertype :0x0800 (IPv4)

Povolení marťanských zpráv

Pokud konfigurační položky ve vašem souboru /etc/sysctl.conf zakázaly detekci Martial Message, měly by být povoleny a program sysctl by měl být spuštěn znovu. Některé ukázkové položky ke kontrole:

# vi /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.conf.bondib0.log_martians=1

Závěr

Zprávy o zdroji Marsu mohou naznačovat problém se síťovým prostředím. Možná budete chtít prozkoumat:

  • V síti nejsou žádné smyčky vrstvy 2:pokud hostitel odešle paket a poté obdrží kopii tohoto paketu zpět ze sítě, bude zaznamenán jako marťan
  • Žádní hostitelé nevysílají provoz se zdrojovou IP adresou, která by se neměla používat, jako je multicast nebo broadcast IP
  • Síťové adresování ve všech systémech v podsíti je použito správně a je platné, všichni hostitelé by měli mít platnou IP adresu a správnou masku podsítě (neboli předponu sítě).


Cent OS

  1. Jak Linux zpracovává více po sobě jdoucích oddělovačů cest (/home////username///soubor)?

  2. Jak systemd-tmpfiles vyčistí /tmp/ nebo /var/tmp (náhrada tmpwatch) v CentOS / RHEL 7

  3. Auditované zprávy se zaplňují /var/log/messages

  1. fprintd zaznamenává zprávy do /var/log/messages, i když USEFPRINTD=no v /etc/sysconfig/authconfig (CentOS/RHEL 7)

  2. Co jsou zprávy „segfault“ v souboru /var/log/messages

  3. Změna názvu hostitele se neodráží v /var/log/messages pro CentOS/RHEL

  1. CentOS / RHEL :Jak otočit soubory /var/log/wtmp a /var/log/btmp pomocí logrotate

  2. Proč nefunguje find -exec mv {} ./target/ +?

  3. Django static_root v /var/www/... - žádná oprávnění ke collectstatic