Qual é a utilidade do registro de pacotes marcianos (por exemplo, net.ipv4.conf.all.log_martians)?

16

Na maioria das vezes, quando eu realizo qualquer pesquisa sobre o fortalecimento de uma caixa Linux, etc, na lista há sempre uma seção do log do pacote marciano (IP) sem nenhuma explicação adicional.

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

Eu pesquisei no Google, mas não parece que os pacotes marcianos sejam fonte de ataque ou algo assim. Alguém pode lançar a luz?

Obrigado

sensei preto
fonte

Respostas:

18

Um pacote marciano é um pacote com um endereço de origem que está obviamente errado - nada poderia ser roteado de volta para esse endereço.

Um exemplo seria se um pacote na Internet pública fosse descoberto com um endereço de origem 192.168.0.1 - um endereço pertencente a um dos espaços de endereços privados reservados da IANA. Outro exemplo pode ser um pacote com um endereço de origem 192.168.0.1 em uma rede privada, utilizando apenas o espaço de endereço privado 10.0.0.0/8.

Como esse pacote é um desperdício de poder de processamento e largura de banda onde quer que apareça, bloqueá-lo o mais cedo possível em uma rede pode ser considerado uma prática benéfica.

Com relação aos ataques, um pacote marciano fala pouco sobre o que seria uma carga útil de ataque, além de consumir largura de banda e recursos de processamento. No entanto, seria difícil rastrear a máquina de origem, pois o endereço de origem real não está presente (tornando marcianos um complemento ideal para DOS / DDOS, assumindo que o pacote não seja descartado no início do caminho da rede).

Configuração incorreta ou configurações padrão não personalizadas são fontes prováveis ​​de marcianos.

Tenho muita dificuldade em motivar por que filtrar marcianos seria uma má ideia. Quanto ao registro, poderia ser bom, pelo menos, encontrar aquelas configurações não totalmente incomuns, mas seria algo para cada organização decidir. Desordem desnecessária de log também é consumidora e também um incômodo.

Mais informações aqui .

ErikE
fonte
2
+1 A única razão pela qual consigo pensar em registrar pacotes marcianos é avisar aos administradores de rede que há um roteador mal configurado em algum lugar. Idealmente, o log deve estar sempre vazio. Caso contrário, algo não está configurado corretamente (algo está permitindo a passagem dos pacotes em vez de descartá-los mais cedo). Se sua rede não for gerenciada com cuidado, não há motivo para desperdiçar essas entradas de disco.
Stevendesu