В большинстве случаев, когда я выполняю любой поиск по усилению защиты Linux-бокса и т. Д., В списке всегда есть раздел журнала марсианских пакетов (IP) без каких-либо дополнительных объяснений.
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
Я немного погуглил, но не похоже, что марсианские пакеты являются источником атаки или около того. Кто-нибудь может пролить свет?
Спасибо
Марсианский пакет - это пакет с явно неправильным адресом отправителя - на этот адрес ничего нельзя перенаправить.
Примером может служить обнаружение пакета в общедоступном Интернете с адресом источника 192.168.0.1 - адресом, принадлежащим одному из зарезервированных пространств частных адресов IANA. Другим примером может быть пакет, имеющий адрес источника 192.168.0.1 в частной сети, использующий только частное адресное пространство 10.0.0.0/8.
Поскольку такой пакет является пустой тратой вычислительной мощности и полосы пропускания, где бы он ни появлялся, его блокировка как можно раньше в сети может считаться полезной практикой.
Что касается атак, то марсианский пакет мало что говорит о том, какой будет полезная нагрузка для атаки, помимо потребления полосы пропускания и ресурсов обработки. Однако исходную машину будет сложно отследить, поскольку фактический адрес отправителя отсутствует (что делает марсиан идеальным дополнением к DOS / DDOS, при условии, что пакет не отбрасывается на раннем этапе сетевого пути).
Неправильная конфигурация или ненастроенные конфигурации по умолчанию, вероятно, являются источниками марсиан.
Мне очень трудно объяснить, почему фильтрация марсиан - плохая идея. Что касается ведения журнала, это может быть полезно, по крайней мере, для обнаружения тех не совсем редких ошибок конфигурации, но это будет что-то для каждой организации. Излишний беспорядок в бревнах тоже доставляет неудобства.
Больше информации Вот.