Martians attack !

[Riric]

ça vous dit quelque chose ça : <BR> <BR>Jul 8 01:10:14 machine1 kernel: martian source xx.xx.xx.xx from 0.0.0.0, on dev eth2 <BR>Jul 8 01:10:14 machine1 kernel: ll header: ff:ff:ff:ff:ff:ff:* <BR> <BR>j'ai ça tous les jours vers la même heure dans la log messages de mon ipcop. <BR> <BR>Eric <BR>

[mordenkainen]

[Mode Xfiles On] <BR>Tu serais pas un 'sétiseur' fou ? <BR>[Mode Xfiles Off] <BR>

[Riric]

heu, c'était pas la réponse que j'attendais ça... <BR> <BR>alors, personne n'a d'idée ? <BR> <BR>A+

[jdh]

In "http://www.science.uva.nl/~mes/jargon/m/martian.html" <BR>martian: n. A packet sent on a TCP/IP network with a source address of the test loopback interface [127.0.0.1]. This means that it will come back labeled with a source address that is clearly not of this earth. "The domain server is getting lots of packets from Mars. Does that gateway have a martian filter?" <BR> <BR>Un packet "martien" arrive sur une interface réseau (eth0, ...) avec l'adresse source à 127.0.0.1 (adresse de l'interface locale = lo). Le packet ne vient pas de la terre ! Plus généralement l'adresse source est "extra-terrestre" et le noyau ne sait pas traiter ce packet. <BR> <BR>L'idée vient du fait que dans un firewall, on autorise "lo" dans tous les cas : règle "OUTPUT". Un attaquant peut tirer connaissance selon le traitement qui est effectué par la pile TCP/IP de l'hôte. <BR> <BR>Sous Linux, il y a un parametre noyau qui permet de loguer un tel packet : <BR> <BR> echo "1" > /proc/sys/net/ipv4/conf/all/log_martians <BR> <BR>Usuellement, ce paramètre est à 0 (pour ne pas loguer). Sur ta config, il doit être à 1. <BR> <BR> <BR> <BR>

[Riric]

Merci pour la réponse. <BR> <BR>Je vais laisser la valeur d'IPCOP par défaut. <BR> <BR>A+

[DestyNova]

Bizarre quand même =D <IMG SRC="images/smiles/icon_razz.gif">

[Gesp]

J'ai eu le cas avec la carte intégrée d'un Compaq DP4000. <BR> <BR>Je pense que c'est le driver Linux de la carte qui délire un peu. <BR> <BR>Le martian source a lieu à chaque demande de renouvellement de l'adresse IP sur le Green (requètes DHCP) <BR>

[Riric]

oui, mais je ne suis pas en DHCP.... <BR> <BR>sachant que j'en ai un par jour, entre 4h et 5h du mat... <BR>toujours la même ip en source. <BR> <BR>strange non ? <BR> <BR>A+

[Gesp]

Toi c'est sur la carte RED, ce n'est pas pendant le changement d'adresse IP? <BR> <BR>Moi c'était sur la carte Green ou le bail du DHCP est assez court.

[Riric]

En fait, c'est sur mon 2eme GREEN. <BR> <BR>Eric.

[Gesp]

En étant connecté à Free avec IPcop, j'ai maintenant des martian source toutes les 5 s (et uniquement par Free parce que si je me reconnecte par Wanadoo cela disparait) <BR>Cela fait cela <BR>Nov 14 23:50:11 test kernel: martian source 82.64.72.21 from 127.0.0.1, on dev ppp0 <BR>Nov 14 23:50:11 test kernel: ll header: 45:00:00:28 <BR>Nov 14 23:50:13 test kernel: martian source 82.64.72.21 from 127.0.0.1, on dev ppp0 <BR>Nov 14 23:50:13 test kernel: ll header: 45:00:00:28 <BR>Nov 14 23:50:13 test kernel: martian source 82.64.72.21 from 127.0.0.1, on dev ppp0 <BR>Nov 14 23:50:13 test kernel: ll header: 45:00:00:28 <BR>Nov 14 23:50:14 test kernel: martian source 82.64.72.21 from 127.0.0.1, on dev ppp0 <BR>Nov 14 23:50:14 test kernel: ll header: 45:00:00:28 <BR>Nov 14 23:50:15 test kernel: martian source 82.64.72.21 from 127.0.0.1, on dev ppp0 <BR>Nov 14 23:50:15 test kernel: ll header: 45:00:00:28 <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

[vlad59]

Salut, <BR> <BR>J'ai le même Pb sur ma connection Tele2. J'ai modifie le fichier log_martians et maintenant au moins c plus loggé mais ça reste bizarre <BR> <BR>Vlad <BR> <BR>EDIT : Et en plus cette modification ne survit pas à un reboot, c $%#&!. <BR><BR><BR><font size=-2></font>

[Gesp]

Je me demande si ce n'est pas lié à l'adresse de la passerelle attribuée par Free. <BR>Je reçois comme adresse de passerelle 192.168.254.254 alors que mon adresse IPCop en green est en 192.168.x.254. <BR> <BR>Je vais essayer de décaler mon adressage interne mais je ne sais pas quoi mettre à part partir en 10.0.x.x pour être certain d'éviter le problème étant donné que je ne sais pas le masque employé par Free.

[hb]

tu peux aussi jouer dans le 172.17.0.0 mask 255.240.0.0

[Gesp]

Non en fait le problème ne doit pas venir de là. <BR> <BR>C'est plutôt que les routeurs de Free ou Tele2 ne filtrent pas les paquets en 127.0.0.1 et que l'on se ramasse du bruit dû aux virus émettant des adresses spooffées <BR>a priori l'explication est là <BR><!-- BBCode auto-link start --><a href="http://fast800.tuxfamily.org/forums/read.php?f=1&i=5362&t=5205" target="_blank">http://fast800.tuxfamily.org/forums/read.php?f=1&i=5362&t=5205</a><!-- BBCode auto-link end --> <BR> <BR>Le problème est que l'on a déjà des règles <BR> /sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP # Loopback not on lo <BR> /sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP <BR>mais que cela ne suffit pas pour droper ces paquets <BR> <BR>donc qu'est-ce que l'on peut faire pour supprimer ces paquets à part invalider le log_martian?<BR><BR><font size=-2></font>