Какова полезность регистрации марсианского пакета (например, net.ipv4.conf.all.log_martians)?

16

Большую часть времени, когда я выполняю какой-либо поиск по усилению Linux-коробки и т. Д., В списке всегда есть раздел журнала марсианского пакета (IP) без каких-либо дополнительных объяснений.

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

Я немного погуглил, но не похоже, что марсианские пакеты являются источником атаки или около того. Кто-нибудь может пролить свет?

Спасибо

черный сенсей
источник

Ответы:

18

Марсианский пакет - это пакет с исходным адресом, который явно неверен - ничто не может быть перенаправлено обратно на этот адрес.

Примером может служить обнаружение пакета в общедоступном Интернете с адресом источника 192.168.0.1 - адресом, принадлежащим одному из зарезервированных частных адресных пространств IANA. Другим примером может быть пакет с адресом источника 192.168.0.1 в частной сети, использующий только частное адресное пространство 10.0.0.0/8.

Поскольку такой пакет является пустой тратой вычислительной мощности и полосы пропускания, где бы он ни появлялся, блокирование его как можно раньше в сети может считаться полезной практикой.

Что касается атак, марсианский пакет мало говорит о том, какой будет полезная нагрузка атаки, помимо того, что он потребляет пропускную способность и ресурсы обработки. Однако исходной машине будет сложно отследить, так как фактический адрес источника отсутствует (что делает марсиан идеальным дополнением к DOS / DDOS, предполагая, что пакет не отбрасывается на ранних этапах сетевого пути).

Неправильная конфигурация или ненастроенные конфигурации по умолчанию, вероятно, являются источниками марсиан.

Мне очень трудно объяснить, почему фильтрация марсиан была бы плохой идеей. Что касается ведения журналов, то это может быть полезно, по крайней мере, для нахождения тех, которые не являются весьма редкими ошибочными конфигурациями, но это будет что-то для каждой организации, чтобы решить. Ненужный беспорядок журнала также является расходным и неприятным.

Больше информации здесь .

ErikE
источник
2
+1 Единственная причина, по которой я могу подумать о том, чтобы регистрировать марсианские пакеты, состоит в том, чтобы предупредить сетевых администраторов, что где-то неправильно настроен маршрутизатор. В идеале журнал всегда должен быть пустым. Если это не так, что-то не настроено правильно (что-то пропускает пакеты, а не отбрасывает их раньше). Если ваша сеть не управляется должным образом, нет причин тратить впустую ведение журнала дискового ввода-вывода.
stevendesu