我不断在 /var/log/messages 中收到这些消息:
Mar 8 23:17:25 saas1 kernel: martian source 169.254.1.1 from 169.254.95.118, on dev usb0
Mar 8 23:17:25 saas1 kernel: ll header: ff:ff:ff:ff:ff:ff:00:21:5e:de:1b:be:08:06
每隔 5 秒钟就会出现另一份完全相同的报告。
我对 169.254.95.118 进行了 whois 查询,也收到了一条奇怪的消息:
http://whois.arin.net/rest/nets;q=169.254.95.118?showDetails=true&showARIN=false
This is the "link local" block. It was set
aside for this special use in the Standards
Track document, RFC 3927 and was further
documented in the Best Current Practice
RFC 5735, which can be found at:
http://www.rfc-editor.org/rfc/rfc3927.txt
http://www.rfc-editor.org/rfc/rfc5735.txt
It is allocated for communication between hosts
on a single link. Hosts obtain these addresses
by auto-configuration, such as when a DHCP
server cannot be found.
A router MUST NOT forward a packet with an IPv4
Link-Local source or destination address,
irrespective of the router's default route configuration
or routes obtained from dynamic routing protocols.
A router which receives a packet with an IPv4
Link-Local source or destination address MUST NOT
forward the packet. This prevents forwarding of
packets back onto the network segment from which
they originated, or to any other segment.
答案1
如果网络上的主机无法通过 DHCP 获取网络地址,则可能会伪随机分配从 169.254.1.0 到 169.254.254.255 的地址。因此,这是一个没有连接到互联网的接口。这就是 ARIN 告诉您的。如果有人试图向此地址发送某些内容,则称为火星数据包。
usb0 插着什么?
答案2
维基百科:http://en.wikipedia.org/wiki/APIPA
如果你愿意的话,可以关闭火星日志记录:
echo 0 > /proc/sys/net/ipv4/conf/{all,default}/log_martians
答案3
您没有告诉我们 USB0 的 IP 地址是什么,但我猜它不在链路本地子网中,因此从链路本地到达 usb0 的数据包将是“火星”。这是一个被广泛引用的解释
这些是 Linux 无法从其来源方向预料到的数据包(即来自内部主机的数据包通过外部接口进入)。原因可能是您的 LAN 上的机器配置错误。您可以通过 /proc/sys/net/ipv4/conf/ 关闭记录这些数据包的功能界面/log_martians 记录在 /usr/src/linux/Documentation/proc.txt
答案4
我真的不会关闭火星人的日志记录:它们通常登录在生产机器上,这是为了防止侵略。
每隔几秒钟发生一次攻击可能是由于机器配置错误,但在您的服务器遭到攻击的那天,您会在日志中获得有价值的信息。
最好的办法是,如果要查看的机器数量不多,则继续记录并查找配置错误的机器——它很可能是附近的机器。