GNU/Linux >> Tutoriels Linux >  >> Cent OS

Pourquoi "/var/log/messages" signale-t-il des paquets martiens

Il y a des entrées dans le fichier /var/log/messages comme indiqué ci-dessous :

# tailf /var/log/messages
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev eth0
Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
Aug 22 11:08:22 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 11:08:22 server kernel: ll header: 08:00:00:00:45:00:00:6c:00:00:40:00:40:11:9f:aa:c0:a8:0c:c6:c0:a8:0c:c0
Aug 22 12:11:27 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 12:11:27 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:16:c0:a8:0c:c6:c0:a8:0c:c0

Qu'est-ce qu'un paquet martien ?

L'IANA définit un paquet martien comme celui qui arrive sur une interface où l'interface n'utilise pas ce réseau. Pour Linux, c'est tout paquet qui arrive sur une interface qui n'est en aucun cas configurée pour ce sous-réseau. Toute notification de paquet martien doit être étudiée. Paquets martiens :

  • Sont fréquemment utilisés dans les intrusions de piratage.
  • Peut être le symptôme d'un serveur mal configuré ailleurs sur le réseau.
  • Peut indiquer un problème d'infrastructure réseau.

Lire un message martien

Un message de source martienne se présente comme suit :

kernel: martian source [destination IP] from [source IP], on dev [interface packet arrived on]
kernel: ll header: [destination MAC address]:[source MAC address]:[ethertype]  (for ethernet)

Par exemple, étant donné le message :

kernel: martian source 192.168.0.1 from 192.168.0.255, on dev eth0
kernel: ll header: ff:ff:ff:ff:ff:ff:00:12:34:00:ab:cd:08:00

Ici,
IP de destination :192.168.0.1
IP source :192.168.0.255
Interface entrante :eth0
MAC de destination :ff:ff:ff:ff:ff:ff
MAC source :00:12:34:00:ab:cd
Ethertype :0x0800 (IPv4)

Activer les messages martiens

Si les éléments de configuration de votre fichier /etc/sysctl.conf ont désactivé la détection des messages martiaux, ils doivent être activés et le programme sysctl doit être réexécuté. Voici quelques exemples d'entrées à vérifier :

# vi /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.conf.bondib0.log_martians=1

Conclusion

Les messages de source martienne peuvent indiquer un problème avec l'environnement réseau. Vous voudrez peut-être enquêter :

  • Il n'y a pas de boucles de couche 2 dans le réseau :si l'hôte envoie un paquet puis reçoit une copie de ce paquet du réseau, il sera enregistré en tant que martien
  • Aucun hôte ne transmet le trafic avec une adresse IP source qui ne doit pas être utilisée, telle qu'une adresse IP de multidiffusion ou de diffusion
  • L'adressage réseau sur tous les systèmes du sous-réseau est appliqué correctement et est valide, tous les hôtes doivent avoir une adresse IP valide et le masque de sous-réseau correct (alias préfixe réseau)


Cent OS

  1. Comment Linux gère-t-il plusieurs séparateurs de chemins consécutifs (/home////nom d'utilisateur///fichier) ?

  2. Différence entre /var/log/messages, /var/log/syslog et /var/log/kern.log ?

  3. Comment systemd-tmpfiles nettoie /tmp/ ou /var/tmp (remplacement de tmpwatch) dans CentOS / RHEL 7

  4. Les messages auditd se remplissent /var/log/messages

  5. fprintd enregistre les messages dans /var/log/messages même si USEFPRINTD=no dans /etc/sysconfig/authconfig (CentOS/RHEL 7)

Comment modifier l'autorisation par défaut de /var/log/messages dans CentOS/RHEL

Comment changer le chemin du fichier journal auditd /var/log/audit/audit.log

Le /var/log/messages est vide, tout comme les fichiers journaux pivotés tels que messages.0, messages.1

Le fichier journal système /var/log/messages est supprimé ou coupé automatiquement (CentOS/RHEL)

Messages d'erreur "Abandonner la commande émise nexus" dans le fichier /var/log/messages

logrotate ne compresse pas /var/log/messages