Il più delle volte quando eseguo qualsiasi ricerca sull'indurimento di un box Linux ecc., Nell'elenco c'è sempre una sezione del registro del pacchetto marziano (IP) senza ulteriori spiegazioni.
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
Ho cercato su Google ma non sembra che i pacchetti marziani siano fonte di attacco o giù di lì. Qualcuno può far luce?
Grazie
Risposte:
Un pacchetto marziano è un pacchetto con un indirizzo di origine che è ovviamente sbagliato - nulla potrebbe essere reindirizzato a quell'indirizzo.
Un esempio sarebbe se un pacchetto su Internet pubblico venisse scoperto con un indirizzo sorgente di 192.168.0.1 - un indirizzo appartenente a uno degli spazi di indirizzi privati riservati IANA. Un altro esempio potrebbe essere un pacchetto con un indirizzo di origine di 192.168.0.1 su una rete privata che utilizza solo lo spazio di indirizzi privato 10.0.0.0/8.
Poiché un tale pacchetto è uno spreco di potenza di elaborazione e larghezza di banda ovunque appaia, bloccarlo il più presto possibile in una rete potrebbe essere considerato una pratica benefica.
Per quanto riguarda gli attacchi, un pacchetto marziano dice poco su cosa sarebbe un payload di attacco, oltre a consumare larghezza di banda ed elaborare risorse. Tuttavia, la macchina di origine sarebbe difficile da rintracciare poiché l'indirizzo di origine effettivo non è presente (rendendo i marziani un complemento ideale per DOS / DDOS, supponendo che il pacchetto non venga scartato all'inizio nel percorso di rete).
Una configurazione errata o configurazioni predefinite non personalizzate sono probabilmente fonti di marziani.
Ho grandi difficoltà a motivare perché filtrare i marziani sarebbe una cattiva idea. Per quanto riguarda il logging, potrebbe essere utile almeno per trovare quelle errate configurazioni non del tutto insolite, ma sarebbe una decisione di ciascuna organizzazione. Anche il disordine logaritmico non è necessario e anche un fastidio.
Maggiori informazioni qui .