Linux - марсианский источник в /var/log/messages
Я продолжаю получать эти сообщения в /var/log/messages:
Mar 8 23:17:25 saas1 kernel: martian source 169.254.1.1 from 169.254.95.118, on dev usb0
Mar 8 23:17:25 saas1 kernel: ll header: ff:ff:ff:ff:ff:ff:00:21:5e:de:1b:be:08:06
Снова и снова каждые 5 секунд появляется еще один отчет точно так же.
Я сделал whois 169.254.95.118 и получил странное сообщение также:
http://whois.arin.net/rest/nets;q=169.254.95.118?showDetails=true&showARIN=false
This is the "link local" block. It was set
aside for this special use in the Standards
Track document, RFC 3927 and was further
documented in the Best Current Practice
RFC 5735, which can be found at:
http://www.rfc-editor.org/rfc/rfc3927.txt
http://www.rfc-editor.org/rfc/rfc5735.txt
It is allocated for communication between hosts
on a single link. Hosts obtain these addresses
by auto-configuration, such as when a DHCP
server cannot be found.
A router MUST NOT forward a packet with an IPv4
Link-Local source or destination address,
irrespective of the router's default route configuration
or routes obtained from dynamic routing protocols.
A router which receives a packet with an IPv4
Link-Local source or destination address MUST NOT
forward the packet. This prevents forwarding of
packets back onto the network segment from which
they originated, or to any other segment.
5 ответов
Если хост в сети не может получить сетевой адрес через DHCP, псевдослучайно может быть назначен адрес от 169.254.1.0 до 169.254.254.255. Так что это интерфейс без подключения к интернету. Это то, что Арин говорит вам. Если кто-то пытается отправить что-то на этот адрес, он называется марсианским пакетом.
Что подключено к usb0?
Википедия: http://en.wikipedia.org/wiki/APIPA
Вы можете отключить марсианскую регистрацию, если хотите:
echo 0 > /proc/sys/net/ipv4/conf/{all,default}/log_martians
Вы не говорите нам, что такое IP-адрес USB0, но я думаю, что он не находится в локальной подсети ссылки, поэтому пакеты, поступающие на usb0 из локальной ссылки, будут "марсианскими". Это широко цитируемое объяснение
Это пакеты, которые Linux не ожидает в том направлении, откуда они пришли (т.е. пакеты от внутренних хостов, поступающих на внешний интерфейс). Возможно, причиной является неверно настроенный компьютер в вашей локальной сети. Вы можете отключить регистрацию этих пакетов через / proc / sys / net / ipv4 / conf /interface/ log_martians, что описано в /usr/src/linux/Documentation/proc.txt
Не рекомендуется прекратить регистрировать марсиан. Однако, если вам нужно прекратить вносить изменения в параметры ядра следующим образом.
Отредактируйте sysctl и добавьте изменение 1 в 0 и убедитесь, что заменили "ens192 и ens224" на имя вашего интерфейса. Это прекратит регистрировать марсиан.
# vi /etc/sysctl.d/99-sysctl.conf
Измените, как показано ниже.
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.ens192.log_martians = 0
net.ipv4.conf.ens224.log_martians = 0
Примените это, запустив
# sysctl -p /etc/sysctl.d/99-sysctl.conf
Надеюсь, это поможет кому-то.
Я действительно не отключил бы регистрацию марсиан: они обычно регистрируются на производственных машинах, и это защищает от агрессии.
Один удар каждые несколько секунд, вероятно, неправильно настроенный компьютер, но в тот день, когда ваш сервер подвергся атаке, вы получите ценную информацию в журналах.
Лучше всего продолжать регистрироваться и искать неправильно сконфигурированную машину, если на ней не слишком много машин - это, вероятно, машина рядом.