GNU/Linux >> Belajar Linux >  >> Cent OS

Mengapa “/var/log/messages” Melaporkan Paket Mars

Ada entri dalam file /var/log/messages seperti yang ditunjukkan di bawah ini:

# tailf /var/log/messages
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev eth0
Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
Aug 22 11:08:22 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 11:08:22 server kernel: ll header: 08:00:00:00:45:00:00:6c:00:00:40:00:40:11:9f:aa:c0:a8:0c:c6:c0:a8:0c:c0
Aug 22 12:11:27 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 12:11:27 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:16:c0:a8:0c:c6:c0:a8:0c:c0

Apa Itu Paket Mars?

IANA mendefinisikan paket Mars sebagai paket yang tiba di antarmuka di mana antarmuka tidak menggunakan jaringan itu. Untuk Linux, ini adalah paket apa pun yang datang pada antarmuka yang tidak dikonfigurasi untuk subnet itu dengan cara apa pun. Setiap pemberitahuan paket Mars harus diselidiki. Paket Mars:

  • Sering digunakan dalam intrusi peretasan.
  • Mungkin merupakan gejala server yang salah konfigurasi di tempat lain di jaringan.
  • Mungkin mengindikasikan masalah infrastruktur jaringan.

Membaca Pesan Mars

Pesan sumber Mars ditata sebagai berikut:

kernel: martian source [destination IP] from [source IP], on dev [interface packet arrived on]
kernel: ll header: [destination MAC address]:[source MAC address]:[ethertype]  (for ethernet)

Misalnya diberi pesan:

kernel: martian source 192.168.0.1 from 192.168.0.255, on dev eth0
kernel: ll header: ff:ff:ff:ff:ff:ff:00:12:34:00:ab:cd:08:00

Di sini,
IP Tujuan :192.168.0.1
IP Sumber :192.168.0.255
Antarmuka masuk :eth0
MAC Tujuan :ff:ff:ff:ff:ff:ff
MAC Sumber :00:12:34:00:ab:cd
Ethertype :0x0800 (IPv4)

Mengaktifkan Pesan Mars

Jika item konfigurasi di file /etc/sysctl.conf Anda telah menonaktifkan deteksi Martial Message, item tersebut harus diaktifkan dan program sysctl harus dijalankan kembali. Beberapa contoh entri yang perlu diperiksa adalah:

# vi /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.conf.bondib0.log_martians=1

Kesimpulan

Pesan sumber Mars mungkin menunjukkan masalah dengan lingkungan jaringan. Anda mungkin ingin menyelidiki:

  • Tidak ada loop layer 2 dalam jaringan:jika host mengirim paket dan kemudian menerima salinan paket ini kembali dari jaringan, itu akan dicatat sebagai martian
  • Tidak ada host yang mentransmisikan lalu lintas dengan IP sumber yang tidak boleh digunakan seperti IP multicast atau siaran
  • Pengalamatan jaringan pada semua sistem di subnet diterapkan dengan benar dan valid, semua host harus memiliki alamat IP yang valid dan subnet mask yang benar (alias awalan jaringan)


Cent OS

  1. Bagaimana systemd-tmpfiles membersihkan /tmp/ atau /var/tmp (pengganti tmpwatch) di CentOS / RHEL 7

  2. Pesan Auditd Mengisi /var/log/messages

  3. fprintd Mencatat Pesan ke /var/log/messages Bahkan Jika USEFPRINTD=no di /etc/sysconfig/authconfig (CentOS/RHEL 7)

  1. Apa yang dimaksud dengan pesan "segfault" di file /var/log/messages?

  2. Perubahan nama host tidak tercermin dalam /var/log/messages untuk CentOS/RHEL

  3. Pesan kesalahan "Batalkan perintah yang dikeluarkan nexus" di file /var/log/messages

  1. Bagaimana Linux Menangani Beberapa Pemisah Jalur Berturut-turut (/home////username///file)?

  2. Django static_root di /var/www/... - tidak ada izin untuk mengumpulkan statis

  3. logrotate tidak mengompres /var/log/messages