作者 主題: "martian source" Linux 主機的問題  (閱讀 3425 次)

0 會員 與 1 訪客 正在閱讀本文。

Yanny

  • 憂鬱的高中生
  • ***
  • 文章數: 177
    • 檢視個人資料
"martian source" Linux 主機的問題
« 於: 2008-11-24 18:12 »
各位大大,小弟在這邊請問一個問題
小弟先講解一下那台主機的網路接法
那台主機有接兩張網卡,一張網卡接到的是我們的內部網路10.0.88.20/32,另一網卡從ADSL接到IP分享器,再從IP分享器接到這台主機的網卡192.168.1.10/32
小弟有一台 Debian ETC Linux主機當機,從message log上看到一堆錯誤訊息如下,這個訊息一直刷著messages log 持續三天多

Nov 24 06:55:40 BAK kernel: martian source 10.0.88.132 from 192.168.12.1, on dev eth0
Nov 24 06:55:40 BAK kernel: ll header: ff:ff:ff:ff:ff:ff:00:0d:0b:5e:fc:f8:08:06
Nov 24 06:55:44 BAK kernel: printk: 3 messages suppressed.
Nov 24 06:55:44 BAK kernel: martian source 10.0.88.41 from 192.168.12.1, on dev eth0
Nov 24 06:55:44 BAK kernel: ll header: ff:ff:ff:ff:ff:ff:00:0d:0b:5e:fc:f8:08:06
Nov 24 06:55:52 BAK kernel: printk: 2 messages suppressed.
Nov 24 06:55:52 BAK kernel: martian source 10.0.88.43 from 192.168.12.1, on dev eth0
Nov 24 06:55:52 BAK kernel: ll header: ff:ff:ff:ff:ff:ff:00:0d:0b:5e:fc:f8:08:06
Nov 24 06:55:53 BAK kernel: martian source 10.0.88.100 from 192.168.12.1, on dev eth0
Nov 24 06:55:53 BAK kernel: ll header: ff:ff:ff:ff:ff:ff:00:0d:0b:5e:fc:f8:08:06
Nov 24 06:55:58 BAK kernel: printk: 4 messages suppressed.


我上GOOGLE查,有人說當接兩個網段的網路會發生這種問題,但我們網路上沒有192.168.12.0/24的網段,為什麼會有192.168.12.1的IP呢?這會是網路攻擊嗎?我查到的解決方法是關閉 rp_filter,能解決這問題,但是我怕關閉這個對安全性有影響,因為我上網查過這個用途,它解釋如下:

在預設狀況下,路由器根據封包的目的地址進行轉發,所以路由器遇設是對來自任何地方的包進行轉發的。假如路由器的2.2.2.2 WAN接收到一個封包,該封包的來源地址為1.1.1.100(虛擬IP),雖然這是不可能出現的IP位址,但是由於路由器的特性,路由器還是會將這個不合法的IP轉發到內部網路。從而讓駭客有了可乘之機,為其進行ip欺騙攻擊打開了方便之門。

所以我現在的做法是把記錄fp_filter log的功能關閉,但我還是打開rp_filter的功能打開,我之前沒遇過這個問題,所以在這邊請問各位大大,有沒有好的建議可以提供小弟知道?假如大大有不清楚的地方,請告之小弟,也請各位大大幫忙一下,謝謝!