GNU/Linux >> Tutoriales Linux >  >> Cent OS

¿Por qué “/var/log/messages” reporta paquetes marcianos?

Hay entradas en el archivo /var/log/messages como se muestra a continuación:

# tailf /var/log/messages
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev eth0
Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
Aug 22 11:08:22 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 11:08:22 server kernel: ll header: 08:00:00:00:45:00:00:6c:00:00:40:00:40:11:9f:aa:c0:a8:0c:c6:c0:a8:0c:c0
Aug 22 12:11:27 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 12:11:27 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:16:c0:a8:0c:c6:c0:a8:0c:c0

¿Qué es un paquete marciano?

La IANA define un paquete marciano como uno que llega a una interfaz donde la interfaz no utiliza esa red. Para Linux, es cualquier paquete que llega a una interfaz que no está configurada para esa subred de ninguna manera. Cualquier aviso de paquete marciano debe ser investigado. Paquetes marcianos:

  • Se utilizan con frecuencia en la piratería de intrusiones.
  • Puede ser un síntoma de un servidor mal configurado en otra parte de la red.
  • Puede indicar un problema de infraestructura de red.

Lectura de un mensaje marciano

Un mensaje de origen marciano se presenta de la siguiente manera:

kernel: martian source [destination IP] from [source IP], on dev [interface packet arrived on]
kernel: ll header: [destination MAC address]:[source MAC address]:[ethertype]  (for ethernet)

Por ejemplo, dado el mensaje:

kernel: martian source 192.168.0.1 from 192.168.0.255, on dev eth0
kernel: ll header: ff:ff:ff:ff:ff:ff:00:12:34:00:ab:cd:08:00

Aquí,
IP de destino :192.168.0.1
IP de origen :192.168.0.255
Interfaz entrante :eth0
MAC de destino :ff:ff:ff:ff:ff:ff
Fuente MAC :00:12:34:00:ab:cd
Ethertype :0x0800 (IPv4)

Habilitación de mensajes marcianos

Si los elementos de configuración en su archivo /etc/sysctl.conf han deshabilitado la detección de mensajes marciales, deben habilitarse y el programa sysctl debe volver a ejecutarse. Algunas entradas de muestra para verificar son:

# vi /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.conf.bondib0.log_martians=1

Conclusión

Los mensajes de origen marciano pueden indicar un problema con el entorno de red. Es posible que desee investigar:

  • No hay bucles de capa 2 en la red:si el host envía un paquete y luego recibe una copia de este paquete de la red, se registrará como marciano
  • No hay hosts que transmitan tráfico con una IP de origen que no deba usarse, como una IP de multidifusión o transmisión
  • El direccionamiento de red en todos los sistemas de la subred se aplica correctamente y es válido, todos los hosts deben tener una dirección IP válida y la máscara de subred correcta (también conocida como prefijo de red)


Cent OS

  1. Cómo systemd-tmpfiles limpia /tmp/ o /var/tmp (reemplazo de tmpwatch) en CentOS/RHEL 7

  2. Cómo cambiar la ruta del archivo de registro auditd /var/log/audit/audit.log

  3. Los mensajes auditados se están llenando /var/log/messages

  4. fprintd registra mensajes en /var/log/messages incluso si USEFPRINTD=no en /etc/sysconfig/authconfig (CentOS/RHEL 7)

  5. ¿Qué son los mensajes de “segfault” en el archivo /var/log/messages?

/var/log/messages está vacío, al igual que los archivos de registro rotados, como mensajes.0, mensajes.1

El archivo de registro del sistema /var/log/messages se elimina o recorta automáticamente (CentOS/RHEL)

Mensajes de error "Cancelar comando emitido nexus" en el archivo /var/log/messages

Django static_root en /var/www/... - sin permisos para recopilar estática

logrotate no comprime /var/log/messages

Los registros del sistema están vacíos (/var/log/messages; /var/log/secure; etc.)