Re: martian sources iptables
El jue, 01-07-2010 a las 19:32 -0500, cosme escribió:
> Hola
>
> He puesto un iptables en Debian lenny y cuando lo reinicio me aparece
> un sin número de mensajes con martian sources.
>
> Qué significan ????
>
> Jul 1 19:00:47 ns1 kernel: [ 5631.909505] martian source 192.168.13.83
> from 192.168.13.14, on dev eth0
>
> Jul 1 19:00:47 ns1 kernel: [ 5631.909505] ll header: ff:...
hace muuuuuuuuuuuuucho en un trabajo anterior vi en una pantalla ese
mensaje, pero en su momento lo ignoré. Ahora que preguntás, me acordé
que me llamó la atención pero nada mas y fui a buscar a google que
significa, encontré esto:
http://lugro-novedad.blogspot.com/2007/10/martian-source-error-on-dev.html
y como puede ser interesante para el histórico de la lista, copio y pego
martian source error... on dev ....
En una de las tantas computadoras en que trabajo me apareció este error:
martian source 172.20.x.x from 172.20.y.y, on dev eth0
ll header: 00:0e:0c:3c:48:19:00:14:7c:4d:42:e0:08:00
buscando, buscando en don google, error raro si los hay he encontrado lo
siguiente:
1. Si el kernel encuentra un paquete que es evidentemente erróneo
en lo que se refiere a enrutamiento, te mostrara ese mensaje. Es
decir, si el kernel ve un paquete inesperado por alguna
interfaz, mostrara ese mensaje. Se debe investigaría cuales son
las maquinas que están inyectando esos paquetes a la red, usando
la información del ll header (la MAC de la maquina es
00:14:7c:4d:42:e0:08:00) También se puede evitar que el kernel
muestre esos mensajes escribiendo 1
en /proc/sys/net/ipv4/conf/*/log_martians
2. Si, paquetes inesperados que llegan por un camino por el cual no
pueden llegar indica algún problema de audacia (cracker),
indolencia (administrador que no configuró correctamente los
segmentos IP) o incoherencia (interfaces/tablas de rutas no
coherentes con la necesidad). Usando paquetes como éstos se
pueden atacar vulnerabilidades remotas en stacks TCP/IP
(¿cuáles?, ahora no se me ocurre ninguna particular, pero las
hay). Usando las IP que se ocultó, la MAC que aparece presentada
en el encabezado, un sniffer, arping y otras herramientas
similares puedes determinar cuál es la máquina que está
generando esos paquetes y golpear al dueño con algún objeto
contundente. Por eso es un paquete marciano.
Por la ip de origen, me inclino a pensar en un equipo windwos
con la tarjeta de red sin configurar. ese rango es tipo de los
windows que tienen configurado la tarjeta por DHCP y no
encuentran un servidor de DHCP.
Una solución recomendada es revisar una de las tres posibilidades:
spoofing, mala configuración IP en los clientes, mala configuración IP
en el servidor.
Otro comenta:
1. Las máquinas en una red IP _nunca_ deben llamarse como "lo que
hacen" sino con un nombre único, preferiblemente siguiendo un
tema. Lo que haces no es más que un "rol", y como los roles
cambian pero los nombres no, se utiliza un alias (CNAME en DNS)
para asociar roles a nombres. Eso permite comenzar con una sola
máquina que tenga todos los roles, y luego agregar máquinas y
cambiar roles... pero el resto de la configuración puede quedar
exactamente igual, en particular para los clientes y sus
aplicaciones que suelen ser los más afectados cuando hay cambios
de máquinas servidoras.
2. El syslog acompaña cada mensaje con el nombre de la máquina
origen, porque puede configurarse para que reciba todos los
mensajes de todas las máquinas, cosa que es más práctica porque
así hay un sólo sitio donde estudiar logs.
3. La primera parte del encabezado (00:0e:0c:3c:48:19:) corresponde
a la dirección MAC origen. El kernel sabe tanto IP e Ethernet
como el Comer, así que puede sacar la misma conclusión que yo y
decir que hay algo anormal en el paquete, en consecuencia la
notificación.
--
no alimente al sysadmin >:-)
Reply to: