Przez większość czasu, gdy przeprowadzam wyszukiwanie dotyczące hartowania pudełka z linuksem itp., Na liście zawsze jest sekcja dziennika pakietu marsjańskiego (IP) bez dalszych wyjaśnień.
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
Zrobiłem trochę googlingu, ale nie wygląda na to, że pakiety Marsjan są źródłem ataku. Czy ktoś może rzucić światło?
Dziękuję Ci
Odpowiedzi:
Pakiet marsjański to pakiet z adresem źródłowym, który jest oczywiście nieprawidłowy - nic nie mogłoby zostać przekierowane z powrotem na ten adres.
Przykładem może być odkrycie pakietu w publicznym Internecie o adresie źródłowym 192.168.0.1 - adresie należącym do jednej z zarezerwowanych prywatnych przestrzeni adresowych IANA. Innym przykładem może być pakiet mający adres źródłowy 192.168.0.1 w sieci prywatnej wykorzystującej tylko prywatną przestrzeń adresową 10.0.0.0/8.
Ponieważ taki pakiet jest marnotrawstwem mocy obliczeniowej i przepustowości, gdziekolwiek się pojawia, blokowanie go tak wcześnie, jak to możliwe w sieci, można uznać za korzystną praktykę.
Jeśli chodzi o ataki, pakiet marsjański niewiele mówi o tym, jaki byłby ładunek ataku, poza tym, że pochłania pasmo i zasoby przetwarzania. Jednak maszyna źródłowa byłaby trudna do wyśledzenia, ponieważ rzeczywisty adres źródłowy nie jest obecny (co czyni Marsian idealnym uzupełnieniem DOS / DDOS, zakładając, że pakiet nie zostanie odrzucony na początku ścieżki sieciowej).
Błędna konfiguracja lub niestandardowe konfiguracje domyślne są prawdopodobnie źródłami Marsjan.
Mam ogromne trudności z uzasadnieniem, dlaczego filtrowanie Marsjan byłoby złym pomysłem. Jeśli chodzi o rejestrowanie, może to być przydatne przynajmniej do znalezienia tych niezupełnie niepoprawnych konfiguracji, ale decyzja dla każdej organizacji powinna być podjęta. Niepotrzebny bałagan jest również uciążliwy i uciążliwy.
Więcej informacji tutaj .