Quelle est l'utilité de la journalisation du paquet martiens (par exemple, net.ipv4.conf.all.log_martians)?

16

La plupart du temps, lorsque j'effectue une recherche sur le durcissement d'une boîte Linux, etc., dans la liste, il y a toujours une section de journal du paquet martien (IP) sans autre explication.

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

J'ai fait une recherche sur Google, mais il ne semble pas que les paquets de martiens soient une source d'attaque. Quelqu'un peut-il faire la lumière?

Je vous remercie

sensei noir
la source

Réponses:

18

Un paquet martien est un paquet avec une adresse source qui est manifestement erronée - rien ne pourrait être renvoyé à cette adresse.

Un exemple serait si un paquet sur Internet public était découvert ayant une adresse source de 192.168.0.1 - une adresse appartenant à l'un des espaces d'adressage privés réservés par l'IANA. Un autre exemple pourrait être un paquet ayant une adresse source de 192.168.0.1 sur un réseau privé utilisant uniquement l'espace d'adressage privé 10.0.0.0/8.

Un tel paquet étant un gaspillage de puissance de traitement et de bande passante partout où il apparaît, le bloquer le plus tôt possible dans un réseau pourrait être considéré comme une pratique bénéfique.

En ce qui concerne les attaques, un paquet martien en dit peu sur ce que serait une charge utile d'attaque, au-delà de la consommation de bande passante et de ressources de traitement. Cependant, la machine source serait difficile à tracer car l'adresse source réelle n'est pas présente (ce qui fait des martiens un complément idéal à DOS / DDOS, en supposant que le paquet n'est pas rejeté au début du chemin réseau).

Une mauvaise configuration ou des configurations par défaut non personnalisées sont des sources probables de martiens.

J'ai beaucoup de mal à expliquer pourquoi le filtrage des martiens serait une mauvaise idée. Quant à la journalisation, elle pourrait être utile au moins pour trouver ces erreurs de configuration pas tout à fait inhabituelles, mais ce serait à chaque organisation d'en décider. L'encombrement inutile des journaux est également consommateur et une nuisance aussi.

Plus d'infos ici .

ErikE
la source
2
+1 La seule raison pour laquelle je peux penser à enregistrer les paquets martiens est d'avertir les administrateurs réseau qu'il y a un routeur mal configuré quelque part. Idéalement, le journal devrait toujours être vide. Si ce n'est pas le cas, quelque chose n'est pas configuré correctement (quelque chose permet aux paquets de passer au lieu de les jeter au début). Si votre réseau n'est pas géré avec soin, il n'y a aucune raison de gaspiller les E / S disque à les enregistrer.
stevendesu