大多数时候,当我对 Linux 机器的强化等进行任何搜索时,列表中总会有一段 Martian 数据包(IP)的日志,而没有任何进一步的解释。
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
我谷歌了一下,但看起来火星人的数据包并不是攻击源。有人能解释一下吗?
谢谢
答案1
火星数据包是源地址明显错误的数据包——没有任何东西可以路由回该地址。
例如,如果在公共互联网上发现一个数据包,其源地址为 192.168.0.1 - 该地址属于 IANA 保留的私有地址空间之一。另一个示例是,在仅使用 10.0.0.0/8 私有地址空间的私有网络上,数据包的源地址为 192.168.0.1。
由于这样的数据包无论出现在哪里都会浪费处理能力和带宽,因此在网络中尽早阻止它可以被视为一种有益的做法。
至于攻击,火星数据包除了消耗带宽和处理资源外,几乎无法说明攻击负载是什么。但是,由于实际源地址不存在,因此很难追踪源机器(假设数据包在网络路径早期没有被丢弃,因此火星数据包是 DOS/DDOS 的理想补充)。
错误配置或未定制的默认配置可能是火星人的来源。
我很难理解为什么过滤火星人是个坏主意。至于日志记录,它至少可以发现那些并非完全不常见的错误配置,但这取决于每个组织的决定。不必要的日志混乱也会消耗资源,也是一种滋扰。
更多信息这里。