GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

Warum meldet „/var/log/messages“ Marspakete?

Es gibt Einträge in der Datei /var/log/messages wie unten gezeigt:

# tailf /var/log/messages
Aug 22 11:08:21 server kernel: martian source 192.168.12.197 from 192.168.12.198, on dev eth0
Aug 22 11:08:21 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:11:c0:a8:0c:c6:c0:a8:0c:c5
Aug 22 11:08:22 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 11:08:22 server kernel: ll header: 08:00:00:00:45:00:00:6c:00:00:40:00:40:11:9f:aa:c0:a8:0c:c6:c0:a8:0c:c0
Aug 22 12:11:27 server kernel: martian source 192.168.12.192 from 192.168.12.198, on dev eth0
Aug 22 12:11:27 server kernel: ll header: 08:00:00:00:45:00:01:00:00:00:40:00:40:11:9f:16:c0:a8:0c:c6:c0:a8:0c:c0

Was ist ein Marspaket?

Die IANA definiert ein Marspaket als eines, das an einer Schnittstelle ankommt, bei der die Schnittstelle dieses Netzwerk nicht verwendet. Für Linux ist es jedes Paket, das auf einer Schnittstelle ankommt, die in keiner Weise für dieses Subnetz konfiguriert ist. Jede Benachrichtigung über Marspakete sollte untersucht werden. Marspakete:

  • Werden häufig beim Hackerangriff verwendet.
  • Kann ein Symptom für einen falsch konfigurierten Server an anderer Stelle im Netzwerk sein.
  • Kann auf ein Problem mit der Netzwerkinfrastruktur hinweisen.

Lesen einer Marsbotschaft

Eine Mars-Quellnachricht ist wie folgt aufgebaut:

kernel: martian source [destination IP] from [source IP], on dev [interface packet arrived on]
kernel: ll header: [destination MAC address]:[source MAC address]:[ethertype]  (for ethernet)

Zum Beispiel angesichts der Nachricht:

kernel: martian source 192.168.0.1 from 192.168.0.255, on dev eth0
kernel: ll header: ff:ff:ff:ff:ff:ff:00:12:34:00:ab:cd:08:00

Hier
Ziel-IP :192.168.0.1
Quell-IP :192.168.0.255
Eingangsschnittstelle :eth0
Ziel-MAC :ff:ff:ff:ff:ff:ff
Quell-MAC :00:12:34:00:ab:cd
Äthertyp :0x0800 (IPv4)

Marsianische Nachrichten aktivieren

Wenn Konfigurationselemente in Ihrer /etc/sysctl.conf-Datei die Martial Message-Erkennung deaktiviert haben, sollten sie aktiviert und das sysctl-Programm erneut ausgeführt werden. Einige zu überprüfende Beispieleinträge sind:

# vi /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.conf.bondib0.log_martians=1

Schlussfolgerung

Meldungen von Marsquellen können auf ein Problem mit der Netzwerkumgebung hinweisen. Untersuchen Sie Folgendes:

  • Es gibt keine Layer-2-Schleifen im Netzwerk:Wenn der Host ein Paket sendet und dann eine Kopie dieses Pakets vom Netzwerk zurückerhält, wird er als Marsmensch protokolliert
  • Es gibt keine Hosts, die Datenverkehr mit einer Quell-IP übertragen, die nicht verwendet werden sollte, wie z. B. eine Multicast- oder Broadcast-IP
  • Die Netzwerkadressierung auf allen Systemen im Subnetz wird korrekt angewendet und ist gültig, alle Hosts sollten eine gültige IP-Adresse und die richtige Subnetzmaske (auch als Netzwerkpräfix bezeichnet) haben


Cent OS

  1. So ändern Sie das Standardprotokollverzeichnis (/var/log) in Rsyslog für CentOS/RHEL 6,7

  2. So ändern Sie die Standardberechtigung von /var/log/messages in CentOS/RHEL

  3. So ändern Sie den Pfad der auditd-Protokolldatei /var/log/audit/audit.log

  4. /var/log/messages ist leer, ebenso wie die rotierten Protokolldateien wie messages.0, messages.1

  5. Systemprotokolldatei /var/log/messages wird automatisch gelöscht oder gekürzt (CentOS/RHEL)

Auditd-Meldungen füllen /var/log/messages

fprintd protokolliert Nachrichten in /var/log/messages, selbst wenn USEFPRINTD=no in /etc/sysconfig/authconfig (CentOS/RHEL 7)

Was sind „segfault“-Meldungen in der Datei /var/log/messages

Die Änderung des Hostnamens spiegelt sich nicht in /var/log/messages für CentOS/RHEL wider

Sollten Websites gemäß der empfohlenen Verwendung in /var/ oder /usr/ leben?

Systemprotokolle sind leer (/var/log/messages; /var/log/secure; etc)