একই আইপি থেকে এবং কার্নেল মার্টিয়ান উত্স

13

আমরা মাঝে kernel: martian sourceমাঝে আমাদের বেশ কয়েকটি সার্ভারে eth0 এর জন্য লগ এন্ট্রিগুলি দেখছি । মজার বিষয় হ'ল তারা একই আইপি-তে এসেছে from এই ক্ষেত্রে:

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

এটি কেবল একটি দম্পতি সার্ভারে ঘটে। প্রায় 60 টির মতো ইথ0 একই পদ্ধতিতে কনফিগার করা আছে (পৃথক আইপি, স্পষ্টতই)।

এটিকে ট্র্যাক করার জন্য আমার কী তাকানো উচিত?

সম্পাদনা করুন:

এই নির্দিষ্ট ইন্টারফেসের রুটটি ডিফল্ট রুট তাই আমি মনে করি এটি ভুল ইন্টারফেসটি প্রেরণের বিষয় নয়।

networking  ip 
theillien
সূত্র

উত্তর:

16

সমস্যা

আমি আজ একই সমস্যার মুখোমুখি হয়েছিলাম, যেখানে মার্টিয়ান প্যাকেটগুলি আমার কার্নেল লগগুলিতে প্লাবিত হয়েছিল। সমস্ত মার্টিয়ান প্যাকেটগুলির একই পাবলিক আইপি ঠিকানা eth0থেকে একই পাবলিক আইপি ঠিকানার eth0(আসল আইপি এবং শিরোনামটি সরানো হয়েছে) are

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

কিছু গবেষণা করার পরে, আমি বুঝতে পারলাম যে কারণটি ll headerমঙ্গলীয় প্যাকেটের মধ্যে লুকিয়ে রয়েছে ।

তত্ত্ব

এটি একটি ইথারনেট সংযোগে ধরে নেওয়া, ll headerআসলে একটি ইথারনেট প্রকার II ফ্রেমের প্রারম্ভিক অংশটি দেখায় যা গন্তব্য MAC ঠিকানা, উত্স ম্যাক ঠিকানা এবং একটি আইডি প্যাকেটের বাকী অংশের ধরণকে নির্দেশ করে।

ইথারনেট প্রকার II ফ্রেম ফর্ম্যাট [1]

আপনি দেখতে পাচ্ছেন, প্রথম 6 বাইটগুলি হ'ল গন্তব্য ম্যাকের ঠিকানা, পরবর্তী 6 বাইটগুলি উত্স ম্যাকের ঠিকানা এবং শেষ 2 বাইটের একটি কোড a সাধারণ কোডগুলি হ'ল:

  • 08 00: আইপি প্যাকেট
  • 86 dd: আইপিভি 6 প্যাকেট
  • 08 06: এআরপি প্যাকেট

ব্যাখ্যা

আমার উদাহরণ ফিরে।

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

এটি আমাদের বলে,

  • একই উত্স এবং গন্তব্য আইপি ঠিকানার সাথে একটি প্যাকেট প্রাপ্ত হয়েছিল।
  • এটি পাঠানো হয়েছিল GG:HH:II:JJ:KK:LL, এটি একটি ম্যাক ঠিকানা যা আমি জানি না।
  • এটির গন্তব্য হ'ল AA:BB:CC:DD:EE:FFএটি আমার নিজের ম্যাক ঠিকানা।
  • এটি একটি আইপি প্যাকেট ছিল ( 08 00)।

যদি কোনও প্যাকেটের একই উত্স এবং গন্তব্য আইপি ঠিকানা থাকে তবে তা অবশ্যই একই নেটওয়ার্ক ইন্টারফেসের মাধ্যমে প্রেরণ করা উচিত তবে উত্স এবং গন্তব্যের জন্য ম্যাকগুলি আলাদা! কিভাবে এটা সম্ভব হতে পারে?

সুতরাং, এটি স্পষ্ট যে প্যাকেটটি মঙ্গল থেকে এসেছে, হয় কিছু রাউটিংয়ের সমস্যা রয়েছে, নেটওয়ার্কের মধ্যে একটি মেশিন কনফিগার করা হয়েছে, বা কেউ আইপি / ম্যাকের ঠিকানাগুলি ছলনা করার চেষ্টা করছে। পরবর্তী পদক্ষেপটি প্রশ্নে উত্স ম্যাকের ঠিকানাটি পরীক্ষা করছে।

比尔 盖子
সূত্র
9
লিনাক্স থেকে অংশ : লগ সন্দেহজনক মার্টিয়ান প্যাকেট / আন-রুটেবল উত্স ঠিকানাগুলি

একটি মার্টিয়ান প্যাকেট কোনও আইপি প্যাকেট ছাড়া কিছুই নয় যা ইন্টারনেট উত্সাহিত নম্বর কর্তৃপক্ষের (আইএএনএ) বিশেষ ব্যবহারের জন্য সংরক্ষিত এমন কোনও উত্স বা গন্তব্য ঠিকানা নির্দিষ্ট করে।

এখানে যেমন ঠিকানা ব্লকের উদাহরণ রয়েছে:

  • 10.0.0.0/8
  • 127.0.0.0/8
  • 224.0.0.0/4
  • 240.0.0.0/4
  • :: / 128
  • :: / 96
  • :: 1/128

এটি ট্র্যাক করতে আপনার কাছে বেশ কয়েকটি বিকল্প রয়েছে। আপনি কেবল এটিকে এড়িয়ে যেতে পারেন, আপনি আপনার ফায়ারওয়ালের মাধ্যমে এটি ব্লক করতে পারেন, বা আপনি প্যাকেটের সামগ্রীগুলি ব্যবহার করতে tcpdumpবা wiresharkবিচ্ছিন্ন করতে পারেন যা সম্ভবত এটির কারণ কী হবে তা অন্তর্দৃষ্টি দেয়।

অতিরিক্ত বর্ণনা এবং উত্স

আপনি এটি অনুসন্ধান করার সময় অন্য একটি বাক্যাংশ যা প্রদর্শিত হবে তা হল:

এগুলি এমন প্যাকেট যা লিনাক্স যে দিক থেকে এসেছিল সেগুলি থেকে প্রত্যাশা করে না (অর্থাত্ বাহ্যিক ইন্টারফেসে অভ্যন্তরীণ হোস্টগুলির প্যাকেটগুলি আসছে)। কারণটি সম্ভবত আপনার ল্যানে একটি ভুল কনফিগার্ড মেশিন। আপনি যে প্যাকেটগুলির মাধ্যমে /proc/sys/net/ipv4/conf/interface/log_martiansনথিভুক্ত রয়েছে সেগুলির লগিং বন্ধ করতে পারেন /usr/src/linux/Documentation/proc.txt

আমি এই অনুচ্ছেদের মূল উত্সটি খুঁজে পেলাম না, তবে আপনি যদি এটি অনুসন্ধান করেন তবে এটি প্রচুর পরিমাণে দেখায়, ভারব্যাটিম! এটি ইস্যুটিকে এমন একটি প্যাকেট হিসাবে বর্ণনা করে যা একটি ইন্টারফেসে (এনআইসি) সিস্টেমের মধ্যে এসেছিল যা এটি প্রবেশের জন্য মনোনীত করা হয়নি।

অবশেষে আমি উইকিপিডিয়াকেও এই বিষয়টিতে উদ্ধৃত করতাম, যা প্রায় উপরের মতই বলেছিল।

মার্টিয়ান প্যাকেট হ'ল একটি আইপি প্যাকেট যা এমন একটি উত্স বা গন্তব্য ঠিকানা নির্দিষ্ট করে যা ইন্টারনেট অ্যাসাইনড নাম্বার অথরিটি (আইএএনএ) দ্বারা বিশেষ ব্যবহারের জন্য সংরক্ষিত থাকে । যদি পাবলিক ইন্টারনেটে দেখা যায় তবে এই প্যাকেটগুলি আসলে দাবি করা হিসাবে উত্পন্ন হতে পারে না বা বিতরণ করা যায় না। 1 যাইহোক, নির্দিষ্ট সংরক্ষিত ঠিকানাগুলি মাল্টিকাস্ট ব্যবহার করে বা ব্যক্তিগত নেটওয়ার্কগুলি, স্থানীয় লিঙ্কগুলি বা লুপব্যাক ইন্টারফেসগুলিতে ব্যবহার করা যেতে পারে, তার উপর নির্ভর করে তারা কোন বিশেষ-ব্যবহারের সীমার মধ্যে পড়ে। 2

মার্টিয়ান প্যাকেটগুলি সাধারণভাবে অস্বীকৃত-পরিষেবা আক্রমণগুলিতে আইপি অ্যাড্রেস স্পোফিং থেকে উত্থাপিত হয় 3, তবে নেটওয়ার্ক সরঞ্জামাদির ত্রুটি বা হোস্টের ভুল কনফিগারেশন থেকেও উদ্ভূত হতে পারে। 1

তথ্যসূত্র

SLM
সূত্র
তবে দুর্দান্ত ব্যাখ্যা .... এই ব্লকগুলির ব্যবহার বিশেষত NAT'd নেটওয়ার্কগুলির পিছনে বেশ সাধারণ বলে মনে হয়। এইভাবে আপনার ব্যাখ্যার ভিত্তিতে, আমি এই বার্তাগুলি সর্বদা দেখতে আশা করি expect কার্নেল বার্তায় আরও কিছু চলছে, আমি কী জানার আগ্রহী।
এমডিপিসি
slm
1
আমরা tcpdumpপ্রশ্নে থাকা সার্ভারগুলিতে 24 ঘন্টা চলব। এটি বলেছিল, আমি মার্টিয়ান প্যাকেটের ধারণাটি বুঝতে পারি। আমি যা বুঝতে পারি না, সে কারণেই কোনও ইন্টারফেস তার নিজস্ব আইপি বিবেচনা করবে।
theillien
বাস্তবে অর্থহীন উত্তর।
পোজ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.