Co je to marťanský balíček?
IANA definuje marťanský paket jako ten, který dorazí na rozhraní, kde rozhraní tuto síť nepoužívá. Pro Linux je to jakýkoli paket, který dorazí na rozhraní, které není pro danou podsíť žádným způsobem nakonfigurováno.
Jakékoli upozornění na marťanský paket by mělo být prozkoumáno. Marsovské pakety:
- Často se používají při vniknutí hackerů.
- Může být příznakem nesprávně nakonfigurovaného serveru jinde v síti.
- Může znamenat problém s infrastrukturou sítě.
Pokud konfigurační položky ve vašem /etc/sysctl.conf soubor zakázat tuto detekci, měly by být povoleny a program sysctl znovu spuštěn. Některé ukázkové položky ke kontrole:
net.ipv4.conf.all.log_martians=1 net.ipv4.conf.default.log_martians=1 net.ipv4.conf.bondib0.log_martians=1
V tomto příspěvku si ukážeme, jak interpretovat marťanské zdrojové zprávy na několika příkladech ze skutečného světa.
Příklad 1 – Jak interpretovat marťanskou zdrojovou zprávu
Použijme příklad uvedený níže:
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev bondib0 Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
To znamená, že server přijme paket na rozhraní bondib0, zdroj paketu (odesílatel) byl 192.168.12.198 a cíl paketu (příjemce) byl 192.168.12.197. Bez dalších informací však nevíme, proč byl paket hlášen jako marťanský.
Příklad 2 – Neplatné vysílání
May 22 03:40:37 example2 kernel: IPv4: martian source 255.255.255.255 from 10.140.249.4, on dev eth1 May 22 03:40:37 example2 kernel: ll header: 00000000: ff ff ff ff ff ff 00 50 56 ad 59 09 08 00 .......PV.Y...
Zde eth1 obdržel vysílací paket od odesílatele 10.140.249.4 a příjemce 255.255.255.255 je omezené vysílání, cílovým publikem jsou všichni hostitelé v „místní síti“ (zde je segment 10.140.249.4 s neznámou maskou sítě) a provoz by nikdy neměl být směrován.
Nicméně v tomto případě má eth1 IP adresu 10.168.252.8/16, nebyla to stejná síť jako odesílatel 10.140.249.4. Neočekává se tedy, že od tohoto odesílatele obdrží takový vysílací paket a paket byl odmítnut jako marťanský zdroj. Takový problém může být způsoben nesprávně nakonfigurovaným routerem.
Příklad 3 – Filtrování obrácené cesty
May 25 16:46:04 example3 kernel: martian source 10.255.16.101 from 10.255.1.140, on dev eth0 May 25 16:46:04 example3 kernel: ll header: 00:10:e0:3b:1b:8a:00:1f:27:3f:34:00:08:00
Zde na příkladu 3 eth0 přijal paket z 10.255.1.140 a příjemce je 10.255.16.101. Abychom pochopili, proč byla zamítnuta, musíme zkontrolovat konfiguraci sítě 2 hostitelů, jak je znázorněno níže:
Server example3 má 2 rozhraní eth0 (10.255.16.101) a bond0 (10.255.1.101), byly připojeny k přepínači L3 a přepínači L2 samostatně. Přepínač L3 je připojen ke 2 segmentům sítě:10.255.16.0/24 a 10.255.1.0/24. Sender byl přímo připojen k přepínači L2 a přepínač L2 byl připojen k přepínači L3.
Zde se odesílatel pokusil dosáhnout eth0 na příkladu 3, paket projde přepínačem L2 a přepínačem L3 a dosáhne cíle 10.255.16.101. To by bylo normálně povoleno. Nicméně moderní Linux má obvykle povoleno Reverse Path Filtering:
# sysctl -a | grep eth0.rp_filter net.ipv4.conf.eth0.rp_filter = 1
V omezeném režimu jádro otestuje příchozí pakety pomocí RFC3704, pokud rozhraní není nejlepší zpětná cesta, kontrola paketů selže. V tomto případě by měl být odesílatel schopen dosáhnout serveru example3 přes bond0, protože byl ve stejném segmentu. Kontrola se nezdařila a paket byl odmítnut.
Nejjednodušším řešením je místo toho připojit bond0 (10.255.1.101). Pokud to z nějakého zvláštního důvodu není možné, buď deaktivujte filtrování rezervní cesty, nebo použijte volný režim na eth0.