bla*_*sei 20 networking security linux
大多数情况下,当我对 linux box 等的加固进行任何搜索时,列表中总会有一段火星数据包(IP)的日志,没有任何进一步的解释。
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
我已经做了一些谷歌搜索,但它看起来不像火星人数据包是攻击源左右。任何人都可以照亮吗?
谢谢
Eri*_*ikE 21
martian 数据包是具有明显错误的源地址的数据包 - 没有任何东西可以路由回该地址。
例如,如果发现公共互联网上的数据包的源地址为 192.168.0.1 - 该地址属于 IANA 保留的私有地址空间之一。另一个示例可能是在仅使用 10.0.0.0/8 专用地址空间的专用网络上的源地址为 192.168.0.1 的数据包。
由于这样的数据包无论出现在哪里都会浪费处理能力和带宽,因此在网络中尽早阻止它被认为是一种有益的做法。
关于攻击,火星数据包几乎没有说明攻击有效载荷是什么,除了消耗带宽和处理资源。然而,由于不存在实际的源地址,源计算机将很难追踪(假设数据包没有在网络路径的早期丢弃,那么火星人是 DOS/DDOS 的理想补充)。
错误配置或未定制的默认配置可能是火星人的来源。
我很难想出为什么过滤火星人是个坏主意。至于日志记录,它至少可以很好地找到那些并非完全不常见的错误配置,但这需要每个组织来决定。不必要的日志杂乱也是消耗性的和令人讨厌的。
更多信息在这里。