Я продолжаю получать эти сообщения в / var / log / messages:
Mar 8 23:17:25 saas1 kernel: martian source 169.254.1.1 from 169.254.95.118, on dev usb0
Mar 8 23:17:25 saas1 kernel: ll header: ff:ff:ff:ff:ff:ff:00:21:5e:de:1b:be:08:06
Снова и снова каждые 5 секунд появляется другой отчет точно так же.
Я сделал whois на 169.254.95.118 и также получил странное сообщение:
http://whois.arin.net/rest/nets;q=169.254.95.118?showDetails=true&showARIN=false
This is the "link local" block. It was set
aside for this special use in the Standards
Track document, RFC 3927 and was further
documented in the Best Current Practice
RFC 5735, which can be found at:
http://www.rfc-editor.org/rfc/rfc3927.txt
http://www.rfc-editor.org/rfc/rfc5735.txt
It is allocated for communication between hosts
on a single link. Hosts obtain these addresses
by auto-configuration, such as when a DHCP
server cannot be found.
A router MUST NOT forward a packet with an IPv4
Link-Local source or destination address,
irrespective of the router's default route configuration
or routes obtained from dynamic routing protocols.
A router which receives a packet with an IPv4
Link-Local source or destination address MUST NOT
forward the packet. This prevents forwarding of
packets back onto the network segment from which
they originated, or to any other segment.
Если хост в сети не может получить сетевой адрес через DHCP, адрес от 169.254.1.0 до 169.254.254.255 может быть назначен псевдослучайно. Итак, это интерфейс без подключения к Интернету. Это то, что вам говорит ARIN. Если кто-то пытается отправить что-то на этот адрес, это называется марсианским пакетом.
Что воткнуто в usb0?
Вы не говорите нам, какой IP-адрес USB0, но я предполагаю, что он не находится в локальной подсети ссылки, поэтому пакеты, поступающие на usb0 из локальной ссылки, будут «марсианскими». Это широко цитируемое объяснение
Это пакеты, которые Linux не ожидает в том направлении, откуда они пришли (то есть пакеты от внутренних хостов, поступающие на внешний интерфейс). Причина, вероятно, в неправильной настройке машины в вашей локальной сети. Вы можете отключить регистрацию этих пакетов через / proc / sys / net / ipv4 / conf /интерфейс/ log_martians, который задокументирован в /usr/src/linux/Documentation/proc.txt
Википедия: http://en.wikipedia.org/wiki/APIPA
Вы можете отключить марсианский лог, если хотите:
echo 0 > /proc/sys/net/ipv4/conf/{all,default}/log_martians
Я бы действительно не стал отключать регистрацию марсиан: они обычно заходят на производственные машины, и это для защиты от агрессии.
Одно попадание каждые несколько секунд, вероятно, связано с неправильной настройкой машины, но в день атаки на ваш сервер у вас будет ценная информация в журналах.
Лучше всего вести журнал и искать неправильно сконфигурированную машину, если машин не так много, чтобы посмотреть - скорее всего, это машина рядом.
Не рекомендуется прекращать вырубку марсиан. Однако, если вам нужно прекратить изменять параметры ядра следующим образом.
Отредактируйте sysctl и добавьте изменение 1 к 0 и не забудьте заменить "ens192 and ens224" на имя вашего интерфейса. Это остановит вырубку марсиан.
# vi /etc/sysctl.d/99-sysctl.conf
Измените, как показано ниже.
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.ens192.log_martians = 0
net.ipv4.conf.ens224.log_martians = 0
Примените его, запустив
# sysctl -p /etc/sysctl.d/99-sysctl.conf
Надеюсь, это кому-то поможет.