kernel: martian source
一部のサーバーでは、eth0のログエントリが断続的に表示されます。興味深いことに、彼らは同じIPから来ました。たとえば、
Nov 4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171
これは一部のサーバーでのみ発生します。そのうち、eth0が同じ方法で構成されている約60があります(明らかに異なるIP)。
この問題を追跡するには何を探すべきですか?
編集する:
そのインターフェイスへのパスはデフォルトパスなので、間違ったインターフェイスに送信する問題ではないようです。
ベストアンサー1
質問
今日、火星パケットが私のカーネルログをいっぱいにするのと同じ問題に直面しました。すべての火星パケットは、同じパブリックIPアドレスからeth0
同じパブリックIPアドレスに送信されますeth0
(実際のIPとヘッダは削除されます)。
IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00
ll header
いくつかの調査の終わりに、火星データパケットにその理由が隠されていることに気づきました。
理論
イーサネット接続では、ll header
宛先MACアドレス、ソースMACアドレス、および残りのパケットタイプを示すIDを含むイーサネットタイプIIフレームの先頭が実際に表示されると仮定する。
ご覧のとおり、最初の6バイトは宛先MACアドレス、次の6バイトは送信元MACアドレス、最後の2バイトはコードです。一般的なコードは次のとおりです。
08 00
: IP パケット86 dd
: IPv6 パケット08 06
: ARP パケット
説明する
私の例に戻ります。
IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00
これは私たちに教えてくれます。
- 同じ送信元 IP アドレスと宛先 IP アドレスを使用してパケットが受信されました。
GG:HH:II:JJ:KK:LL
私が知らないMACアドレスであるから送信されます。- 目的地はです
AA:BB:CC:DD:EE:FF
。これは私のMACアドレスです。 - これはIPパケット(
08 00
)です。
パケットの送信元と宛先のIPアドレスが同じ場合は、同じネットワークインターフェイスを介して送信する必要がありますが、送信元と宛先のMACは異なります。どうすればいいですか?
したがって、パケットが火星から来ており、ルーティングに問題があるか、ネットワーク内のシステムが設定されているか、誰かがIP / MACアドレスを偽装しようとしていることが明らかです。次のステップは、問題のソースMACアドレスを確認することです。