¿Cuál es la utilidad del registro de paquetes marcianos (por ejemplo, net.ipv4.conf.all.log_martians)?

16

La mayoría de las veces cuando realizo cualquier búsqueda sobre el endurecimiento de una caja de Linux, etc., en la lista siempre hay una sección de registro del paquete marciano (IP) sin ninguna explicación adicional.

net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1

He buscado en Google, pero no parece que los paquetes marcianos sean una fuente de ataque más o menos. ¿Alguien puede arrojar la luz?

Gracias

sensei negro
fuente

Respuestas:

18

Un paquete marciano es un paquete con una dirección de origen que obviamente está equivocado: no se puede enrutar nada a esa dirección.

Un ejemplo sería si se descubriera un paquete en Internet público con una dirección de origen de 192.168.0.1, una dirección que pertenece a uno de los espacios de direcciones privadas reservadas de la IANA. Otro ejemplo podría ser un paquete que tiene una dirección de origen de 192.168.0.1 en una red privada que solo utiliza el espacio de dirección privada 10.0.0.0/8.

Como tal paquete es una pérdida de potencia de procesamiento y ancho de banda donde sea que aparezca, bloquearlo lo antes posible en una red podría considerarse una práctica beneficiosa.

Con respecto a los ataques, un paquete marciano dice poco sobre lo que sería una carga útil de ataque, más allá de consumir ancho de banda y recursos de procesamiento. Sin embargo, la máquina de origen sería difícil de rastrear ya que la dirección de origen real no está presente (lo que hace que los marcianos sean un complemento ideal para DOS / DDOS, suponiendo que el paquete no se descarte al principio de la ruta de red).

La configuración incorrecta o las configuraciones predeterminadas no personalizadas son probablemente fuentes de marcianos.

Me cuesta mucho motivar por qué filtrar marcianos sería una mala idea. En cuanto al registro, podría ser bueno al menos para encontrar esas configuraciones erróneas no completamente infrecuentes, pero sería algo que cada organización debería decidir. El desorden de registros innecesario también es insuntivo y una molestia también.

Más información aquí .

ErikE
fuente
2
+1 La única razón por la que puedo pensar en registrar paquetes marcianos es avisar a los administradores de red que hay un enrutador mal configurado en alguna parte. Idealmente, el registro siempre debe estar vacío. Si no es así, algo no está configurado correctamente (algo está permitiendo que los paquetes pasen en lugar de descartarlos antes). Si su red no se administra con cuidado, no hay razón para desperdiciar el registro de E / S del disco.
stevendesu