Jaka jest przydatność logowania pakietu marsjańskiego (np. Net.ipv4.conf.all.log_martians)?

16

Przez większość czasu, gdy przeprowadzam wyszukiwanie dotyczące hartowania pudełka z linuksem itp., Na liście zawsze jest sekcja dziennika pakietu marsjańskiego (IP) bez dalszych wyjaśnień.

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

Zrobiłem trochę googlingu, ale nie wygląda na to, że pakiety Marsjan są źródłem ataku. Czy ktoś może rzucić światło?

Dziękuję Ci

czarny sensei
źródło

Odpowiedzi:

18

Pakiet marsjański to pakiet z adresem źródłowym, który jest oczywiście nieprawidłowy - nic nie mogłoby zostać przekierowane z powrotem na ten adres.

Przykładem może być odkrycie pakietu w publicznym Internecie o adresie źródłowym 192.168.0.1 - adresie należącym do jednej z zarezerwowanych prywatnych przestrzeni adresowych IANA. Innym przykładem może być pakiet mający adres źródłowy 192.168.0.1 w sieci prywatnej wykorzystującej tylko prywatną przestrzeń adresową 10.0.0.0/8.

Ponieważ taki pakiet jest marnotrawstwem mocy obliczeniowej i przepustowości, gdziekolwiek się pojawia, blokowanie go tak wcześnie, jak to możliwe w sieci, można uznać za korzystną praktykę.

Jeśli chodzi o ataki, pakiet marsjański niewiele mówi o tym, jaki byłby ładunek ataku, poza tym, że pochłania pasmo i zasoby przetwarzania. Jednak maszyna źródłowa byłaby trudna do wyśledzenia, ponieważ rzeczywisty adres źródłowy nie jest obecny (co czyni Marsian idealnym uzupełnieniem DOS / DDOS, zakładając, że pakiet nie zostanie odrzucony na początku ścieżki sieciowej).

Błędna konfiguracja lub niestandardowe konfiguracje domyślne są prawdopodobnie źródłami Marsjan.

Mam ogromne trudności z uzasadnieniem, dlaczego filtrowanie Marsjan byłoby złym pomysłem. Jeśli chodzi o rejestrowanie, może to być przydatne przynajmniej do znalezienia tych niezupełnie niepoprawnych konfiguracji, ale decyzja dla każdej organizacji powinna być podjęta. Niepotrzebny bałagan jest również uciążliwy i uciążliwy.

Więcej informacji tutaj .

ErikE
źródło
2
+1. Jedynym powodem, dla którego mogę logować pakiety marsjańskie, jest powiadomienie administratorów sieci, że gdzieś jest źle skonfigurowany router. Idealnie dziennik powinien być zawsze pusty. Jeśli nie, coś nie jest poprawnie skonfigurowane (coś przepuszcza pakiety zamiast je wcześniej odrzucać). Jeśli Twoja sieć nie jest starannie zarządzana, nie ma powodu, aby marnować IO dysku na ich rejestrowanie.
stevendesu,