记录火星数据包(例如 net.ipv4.conf.all.log_martians)有什么用?

记录火星数据包(例如 net.ipv4.conf.all.log_martians)有什么用?

大多数时候,当我对 Linux 机器的强化等进行任何搜索时,列表中总会有一段 Martian 数据包(IP)的日志,而没有任何进一步的解释。

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

我谷歌了一下,但看起来火星人的数据包并不是攻击源。有人能解释一下吗?

谢谢

答案1

火星数据包是源地址明显错误的数据包——没有任何东西可以路由回该地址。

例如,如果在公共互联网上发现一个数据包,其源地址为 192.168.0.1 - 该地址属于 IANA 保留的私有地址空间之一。另一个示例是,在仅使用 10.0.0.0/8 私有地址空间的私有网络上,数据包的源地址为 192.168.0.1。

由于这样的数据包无论出现在哪里都会浪费处理能力和带宽,因此在网络中尽早阻止它可以被视为一种有益的做法。

至于攻击,火星数据包除了消耗带宽和处理资源外,几乎无法说明攻击负载是什么。但是,由于实际源地址不存在,因此很难追踪源机器(假设数据包在网络路径早期没有被丢弃,因此火星数据包是 DOS/DDOS 的理想补充)。

错误配置或未定制的默认配置可能是火星人的来源。

我很难理解为什么过滤火星人是个坏主意。至于日志记录,它至少可以发现那些并非完全不常见的错误配置,但这取决于每个组织的决定。不必要的日志混乱也会消耗资源,也是一种滋扰。

更多信息这里

相关内容