Марсианский пакет - это не что иное, как IP-пакет, который указывает источник или адрес назначения, который зарезервирован для специального использования в Интернете Назначенные номера власти (IANA).

Вот примеры таких адресных блоков:

• 10.0.0.0/8
• 127.0.0.0/8
• 224.0.0.0/4
• 240.0.0.0/4
• :: / 128
• :: / 96
• :: 1/128

Для отслеживания этого у вас есть несколько вариантов. Вы могли бы просто игнорировать его, вы можете блокировать его через брандмауэр, или вы можете использовать TCPDUMP или Wireshark , чтобы разделить содержимое пакета, который, вероятно, даст вам понимание того, что вызывает это.

Дополнительные описания и источники

Еще одна другая фраза, которая появляется при поиске этого:

Это пакеты, которые Linux не ожидают от направления они произошло (то есть пакеты от внутренних хостов, идущих на внешнем интерфейс). Причина, вероятно, неправильная машина на вашей локальной сети. Вы можете отключить регистрацию этих пакетов через / proc / sys / net / ipv4 / conf / интерфейс / log_martians , который документируется в /usr/src/linux/documentation/Proc.txt

Я не смог найти оригинальный источник этого абзаца, но если вы ищете его, он много появляется, Verbatim! Это описывает проблему в качестве пакета, который вступил в систему на интерфейсе (NIC), который не предназначен для прохождения.

Наконец-то я бы поступил в Википедию на эту тему, а также говорится, что говорится, примерно так же, как указано выше.

Марсианский пакет - это пакет IP, который определяет источник или Адрес назначения, который является , зарезервированным для специального использования Интернет Назначенные номера власти (IANA). Если видно в общественном интернете, Эти пакеты не могут на самом деле происходить как утверждаемые или быть доставлен. ¹ Тем не менее, некоторые зарезервированные адреса могут быть направлены с использованием многоадресных, или на частных сетях, локальных ссылках или обратной связи Интерфейсы, в зависимости от того, какой спецтехнический диапазон они попадают внутри. ²

Марсианские пакеты обычно возникают из IP-адреса, в Отказание от атак службы, 3 Но также может возникнуть из сети Оборудование неисправность или неправильная передача хоста. 1

Ссылки

• http://www.derkeiler.com/mailing-lists/securityfocus/focus-linux/2003-05/0002.html

Проблема

Сегодня я столкнулся с той же проблемой, когда марсианские пакеты переполняли журналы моего ядра. Все марсианские пакеты отправляются с одного публичного IP-адреса eth0 на тот же публичный IP-адрес eth0 (реальные IP-адреса и заголовок удаляются).

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

После некоторых исследований я понял, что причина кроется в заголовке ll марсианских пакетов.

Теория

Предполагая, что это в соединении Ethernet, заголовок фактически показывает начальную часть кадра Ethernet типа II, который содержит MAC-адрес назначения, MAC-адрес источника и идентификатор, указывающий на тип остальной части пакета.

Как видите, первые 6 байтов - это MAC-адрес назначения, следующие 6 байтов - это MAC-адрес источника и код в последних 2 байтах. Общие коды:

• 08 00 : IP-пакеты
• 86 dd : IPv6-пакет
• 08 06 : ARP-пакет

Пояснение

Вернемся к моему примеру.

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

Это говорит нам,

• что был получен пакет с ОДИНАКОВЫМ IP-адресом источника и получателя.
• Оно было отправлено GG: HH: II: JJ: KK: LL , MAC-адрес которого я не знаю.
• Его пункт назначения - AA: BB: CC: DD: EE: FF , это мой собственный MAC-адрес.
• Это был IP-пакет ( 08 00 ).

Если пакет имеет одинаковые IP-адреса отправителя и получателя, он должен быть отправлен через один и тот же сетевой интерфейс, но MAC-адреса для источника и получателя различаются! Как это может быть возможно?

Таким образом, ясно, что пакет приходит с Марса, либо есть какие-то проблемы с маршрутизацией, машина в сети настроена, либо кто-то пытается подделать IP / MAC-адреса. Следующим шагом является проверка рассматриваемого MAC-адреса источника.