Re: martian sources iptables

[Carlos Lopez]

Hola,

Esto sucede cuando tu router no puede enrutar los paquetes de origen --- 
destino, aun que todo este bien, un posible problema puede estar si está un 
router antes que el tuyo o si este router tiene la misma ip de uno de tus 
gateway eso causa un loop en tu router y te termina dando ese error o puedes 
leer también otras causas aca http://en.wikipedia.org/wiki/Martian_packet

Saludos.



--- El jue, 7/1/10, cosme co...@gecgr.co.cu escribió:

De: cosme co...@gecgr.co.cu
Asunto: martian sources iptables
A: debian-user-spanish@lists.debian.org
Fecha: jueves, 1 de julio de 2010, 07:32 pm



 
 


Hola
He puesto un iptables en Debian lenny y cuando lo 
reinicio me aparece un sin número de mensajes con martian sources.
Qué significan 
Jul 1 19:00:47 ns1 kernel: [ 5631.909505] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:00:47 ns1 kernel: [ 5631.909505] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:00:56 ns1 kernel: [ 5640.928119] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:00:56 ns1 kernel: [ 5640.928119] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:01:08 ns1 kernel: [ 5652.534306] martian source 192.168.13.255 from 
192.168.13.14, on dev eth0
Jul 1 19:01:08 ns1 kernel: [ 5652.534306] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:00
Jul 1 19:01:10 ns1 kernel: [ 5654.445168] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:01:10 ns1 kernel: [ 5654.445168] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:01:13 ns1 kernel: [ 5657.534790] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:01:13 ns1 kernel: [ 5657.534790] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:01:18 ns1 kernel: [ 5662.542337] martian source 192.168.13.255 from 
192.168.13.14, on dev eth0
Jul 1 19:01:18 ns1 kernel: [ 5662.542337] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:00
Jul 1 19:01:19 ns1 kernel: [ 5663.675305] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:01:19 ns1 kernel: [ 5663.675305] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:01:31 ns1 kernel: [ 5675.743210] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:01:31 ns1 kernel: [ 5675.743210] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:01:34 ns1 kernel: [ 5678.753428] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0
Jul 1 19:01:34 ns1 kernel: [ 5678.753428] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06
Jul 1 19:01:35 ns1 kernel: [ 5679.422814] martian source 192.168.99.255 from 
192.168.99.2, on dev eth1
Jul 1 19:01:35 ns1 kernel: [ 5679.422814] ll header: 
ff:ff:ff:ff:ff:ff:00:0c:29:0e:5f:cc:08:00
 


  

martian sources iptables

[cosme]

Hola

He puesto un iptables en Debian lenny y cuando lo reinicio me aparece un sin 
número de mensajes con martian sources.

Qué significan 

Jul 1 19:00:47 ns1 kernel: [ 5631.909505] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:00:47 ns1 kernel: [ 5631.909505] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:00:56 ns1 kernel: [ 5640.928119] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:00:56 ns1 kernel: [ 5640.928119] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:01:08 ns1 kernel: [ 5652.534306] martian source 192.168.13.255 from 
192.168.13.14, on dev eth0

Jul 1 19:01:08 ns1 kernel: [ 5652.534306] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:00

Jul 1 19:01:10 ns1 kernel: [ 5654.445168] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:01:10 ns1 kernel: [ 5654.445168] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:01:13 ns1 kernel: [ 5657.534790] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:01:13 ns1 kernel: [ 5657.534790] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:01:18 ns1 kernel: [ 5662.542337] martian source 192.168.13.255 from 
192.168.13.14, on dev eth0

Jul 1 19:01:18 ns1 kernel: [ 5662.542337] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:00

Jul 1 19:01:19 ns1 kernel: [ 5663.675305] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:01:19 ns1 kernel: [ 5663.675305] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:01:31 ns1 kernel: [ 5675.743210] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:01:31 ns1 kernel: [ 5675.743210] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:01:34 ns1 kernel: [ 5678.753428] martian source 192.168.13.83 from 
192.168.13.14, on dev eth0

Jul 1 19:01:34 ns1 kernel: [ 5678.753428] ll header: 
ff:ff:ff:ff:ff:ff:00:30:4f:14:84:d7:08:06

Jul 1 19:01:35 ns1 kernel: [ 5679.422814] martian source 192.168.99.255 from 
192.168.99.2, on dev eth1

Jul 1 19:01:35 ns1 kernel: [ 5679.422814] ll header: 
ff:ff:ff:ff:ff:ff:00:0c:29:0e:5f:cc:08:00

Re: martian sources iptables

[gonzalo rivero]

El jue, 01-07-2010 a las 19:32 -0500, cosme escribió:
 Hola
 
 He puesto un iptables en Debian lenny y cuando lo reinicio me aparece
 un sin número de mensajes con martian sources.
 
 Qué significan 
 
 Jul 1 19:00:47 ns1 kernel: [ 5631.909505] martian source 192.168.13.83
 from 192.168.13.14, on dev eth0
 
 Jul 1 19:00:47 ns1 kernel: [ 5631.909505] ll header: ff:...

hace mucho en un trabajo anterior vi en una pantalla ese
mensaje, pero en su momento lo ignoré. Ahora que preguntás, me acordé
que me llamó la atención pero nada mas y fui a buscar a google que
significa, encontré esto:
http://lugro-novedad.blogspot.com/2007/10/martian-source-error-on-dev.html
y como puede ser interesante para el histórico de la lista, copio y pego
martian source error... on dev 

En una de las tantas computadoras en que trabajo me apareció este error:

martian source 172.20.x.x from 172.20.y.y, on dev eth0
ll header: 00:0e:0c:3c:48:19:00:14:7c:4d:42:e0:08:00

buscando, buscando en don google, error raro si los hay he encontrado lo
siguiente:

 1. Si el kernel encuentra un paquete que es evidentemente erróneo
en lo que se refiere a enrutamiento, te mostrara ese mensaje. Es
decir, si el kernel ve un paquete inesperado por alguna
interfaz, mostrara ese mensaje. Se debe investigaría cuales son
las maquinas que están inyectando esos paquetes a la red, usando
la información del ll header (la MAC de la maquina es
00:14:7c:4d:42:e0:08:00) También se puede evitar que el kernel
muestre esos mensajes escribiendo 1
en /proc/sys/net/ipv4/conf/*/log_martians
 2. Si, paquetes inesperados que llegan por un camino por el cual no
pueden llegar indica algún problema de audacia (cracker),
indolencia (administrador que no configuró correctamente los
segmentos IP) o incoherencia (interfaces/tablas de rutas no
coherentes con la necesidad). Usando paquetes como éstos se
pueden atacar vulnerabilidades remotas en stacks TCP/IP
(¿cuáles?, ahora no se me ocurre ninguna particular, pero las
hay). Usando las IP que se ocultó, la MAC que aparece presentada
en el encabezado, un sniffer, arping y otras herramientas
similares puedes determinar cuál es la máquina que está
generando esos paquetes y golpear al dueño con algún objeto
contundente. Por eso es un paquete marciano.
Por la ip de origen, me inclino a pensar en un equipo windwos
con la tarjeta de red sin configurar. ese rango es tipo de los
windows que tienen configurado la tarjeta por DHCP y no
encuentran un servidor de DHCP.


Una solución recomendada es revisar una de las tres posibilidades:
spoofing, mala configuración IP en los clientes, mala configuración IP
en el servidor.

Otro comenta:
 1. Las máquinas en una red IP _nunca_ deben llamarse como lo que
hacen sino con un nombre único, preferiblemente siguiendo un
tema. Lo que haces no es más que un rol, y como los roles
cambian pero los nombres no, se utiliza un alias (CNAME en DNS)
para asociar roles a nombres. Eso permite comenzar con una sola
máquina que tenga todos los roles, y luego agregar máquinas y
cambiar roles... pero el resto de la configuración puede quedar
exactamente igual, en particular para los clientes y sus
aplicaciones que suelen ser los más afectados cuando hay cambios
de máquinas servidoras.
 2. El syslog acompaña cada mensaje con el nombre de la máquina
origen, porque puede configurarse para que reciba todos los
mensajes de todas las máquinas, cosa que es más práctica porque
así hay un sólo sitio donde estudiar logs.
 3. La primera parte del encabezado (00:0e:0c:3c:48:19:) corresponde
a la dirección MAC origen. El kernel sabe tanto IP e Ethernet
como el Comer, así que puede sacar la misma conclusión que yo y
decir que hay algo anormal en el paquete, en consecuencia la
notificación.



-- 
no alimente al sysadmin :-)


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1278034159.1586.12.ca...@eeepc.ucasal.ar