viernes, 26 de octubre de 2007

martian source error... on dev ....

En una de las tantas computadoras en que trabajo me apareció este error:

martian source 172.20.x.x from 172.20.y.y, on dev eth0
ll header: 00:0e:0c:3c:48:19:00:14:7c:4d:42:e0:08:00

buscando, buscando en don google, error raro si los hay he encontrado lo siguiente:
  1. Si el kernel encuentra un paquete que es evidentemente erróneo en lo que se refiere a enrutamiento, te mostrara ese mensaje. Es decir, si el kernel ve un paquete inesperado por alguna interfaz, mostrara ese mensaje. Se debe investigaría cuales son las maquinas que están inyectando esos paquetes a la red, usando la información del ll header (la MAC de la maquina es 00:14:7c:4d:42:e0:08:00) También se puede evitar que el kernel muestre esos mensajes escribiendo 1 en /proc/sys/net/ipv4/conf/*/log_martians
  2. Si, paquetes inesperados que llegan por un camino por el cual no pueden llegar indica algún problema de audacia (cracker), indolencia (administrador que no configuró correctamente los segmentos IP) o incoherencia (interfaces/tablas de rutas no coherentes con la necesidad). Usando paquetes como éstos se pueden atacar vulnerabilidades remotas en stacks TCP/IP (¿cuáles?, ahora no se me ocurre ninguna particular, pero las hay). Usando las IP que se ocultó, la MAC que aparece presentada en el encabezado, un sniffer, arping y otras herramientas similares puedes determinar cuál es la máquina que está generando esos paquetes y golpear al dueño con algún objeto contundente. Por eso es un paquete marciano.
  3. Por la ip de origen, me inclino a pensar en un equipo windwos con la tarjeta de red sin configurar. ese rango es tipo de los windows que tienen configurado la tarjeta por DHCP y no encuentran un servidor de DHCP.

Una solución recomendada es revisar una de las tres posibilidades: spoofing, mala configuración IP en los clientes, mala configuración IP en el servidor.

Otro comenta:
  1. Las máquinas en una red IP _nunca_ deben llamarse como "lo que hacen" sino con un nombre único, preferiblemente siguiendo un tema. Lo que haces no es más que un "rol", y como los roles cambian pero los nombres no, se utiliza un alias (CNAME en DNS) para asociar roles a nombres. Eso permite comenzar con una sola máquina que tenga todos los roles, y luego agregar máquinas y cambiar roles... pero el resto de la configuración puede quedar exactamente igual, en particular para los clientes y sus aplicaciones que suelen ser los más afectados cuando hay cambios de máquinas servidoras.
  2. El syslog acompaña cada mensaje con el nombre de la máquina origen, porque puede configurarse para que reciba todos los mensajes de todas las máquinas, cosa que es más práctica porque así hay un sólo sitio donde estudiar logs.
  3. La primera parte del encabezado (00:0e:0c:3c:48:19:) corresponde a la dirección MAC origen. El kernel sabe tanto IP e Ethernet como el Comer, así que puede sacar la misma conclusión que yo y decir que hay algo anormal en el paquete, en consecuencia la notificación.
Publicado por en

1 comentario:

Anónimo dijo...

whats up everyone


just signed up and wanted to say hello while I read through the posts


hopefully this is just what im looking for looks like i have a lot to read.

8 de abril de 2010, 10:03

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)