[opensuse-es] kernel: martian source [logs]
Revisando log /var/log/messages me encontre con esto Aug 27 13:03:55 ns kernel: martian source 192.168.73.4 from 192.168.73.4, on dev eth1 Y no tengo la menor idea de que es ... :s Log completo Aug 28 13:41:55 ns kernel: martian source 192.168.73.4 from 192.168.73.4, on dev eth1 Aug 28 13:41:55 ns kernel: ll header: 00:18:71:e6:7f:36:00:14:95:6f:4b:59:08:00 Alguien sabe que es eso ? Es perjudicial ? Como se compone ? Saludos Cordiales -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Alex> Log completo Alex> Aug 28 13:41:55 ns kernel: martian source 192.168.73.4 from Alex> 192.168.73.4, on dev eth1 Alex> Aug 28 13:41:55 ns kernel: ll header: 00:18:71:e6:7f:36:00:14:95:6f:4b:59:08:00 Alex> Alex> Alguien sabe que es eso ? Lo más frecuente es tener dos dispositivos con la misma IP.
2008/8/28 J.M.Queralt
Alex> Log completo Alex> Aug 28 13:41:55 ns kernel: martian source 192.168.73.4 from Alex> 192.168.73.4, on dev eth1 Alex> Aug 28 13:41:55 ns kernel: ll header: 00:18:71:e6:7f:36:00:14:95:6f:4b:59:08:00 Alex> Alex> Alguien sabe que es eso ?
Lo más frecuente es tener dos dispositivos con la misma IP.
Lo mas divertido es que esa ip es la ip interna del server principal :s
Osea que la invocacion es de algo que el mismo hace :s
2008/8/28 Camaleón
El 28/08/08, Alex Rodriguez escribió:
Revisando log /var/log/messages
me encontre con esto Aug 27 13:03:55 ns kernel: martian source 192.168.73.4 from 192.168.73.4, on dev eth1
Y no tengo la menor idea de que es ... :s
Tienes un artículo de Novell sobre este mensaje:
Martian sources errors showing in messages log https://secure-support.novell.com/KanisaPlatform/Publishing/849/3923798_f.SA...
jejeje me manda a desactivar los martian logs :P "Turn off logging to the kernel" Lo leere con ma calma .... :s que hasta el momento el server no tiene ningun otro cambio de nada ... sigue funcionando BIEN ;) pero quiero saber el porque del log :s -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Alex> > Alex> > Lo más frecuente es tener dos dispositivos con la misma IP. Alex> > Alex> Lo mas divertido es que esa ip es la ip interna del server principal :s Alex> Osea que la invocacion es de algo que el mismo hace :s Nop, según lo que yo digo, puede ser otra máquina, PDA, SAI etc. que usa la misma IP que el servidor principal. Puede no ser divertido si tienes "un infiltrado". :-)
2008/8/28, Alex Rodriguez:
Lo mas divertido es que esa ip es la ip interna del server principal :s Osea que la invocacion es de algo que el mismo hace :s
En el artículo de Novell apuntan 3 causas por las que se generan estos mensajes: 1) Dirección IP que no se puede enrutar 2) Direcciones IP de clase E (240.x.x.x.) 3) Topología de la red (varios adaptadores ethernet en el mismo equipo, cortafuegos, routers...) Tu caso parece el 3)
jejeje me manda a desactivar los martian logs :P "Turn off logging to the kernel"
Ojo, sólo si has descartado antes un problema de seguridad y sabes con certeza a qué se deben esos mensajes. En todo caso, no lo desactives, filtra los mensajes como indican, para que vayan a otro registro separado del /var/log/messages.
Lo leere con ma calma .... :s que hasta el momento el server no tiene ningun otro cambio de nada ... sigue funcionando BIEN ;) pero quiero saber el porque del log :s
En los datos que has puesto, parece que se ve la IP del equipo y dos direcciones MAC. Los dos últimos pares de números no sé qué indican :-? IP adaptador: 192.168.73.4 MAC adaptador ethernet que recibe el paquete: 00:18:71:e6:7f:36 MAC adaptador ethernet que envía el paquete: 00:14:95:6f:4b:59 ¿La misma IP con dos mac distintas? :-/ Si tienes un servidor dhcp, revisa los registros de asignaciones. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-08-29 a las 10:25 +0200, Camaleón escribió:
En los datos que has puesto, parece que se ve la IP del equipo y dos direcciones MAC. Los dos últimos pares de números no sé qué indican :-?
IP adaptador: 192.168.73.4 MAC adaptador ethernet que recibe el paquete: 00:18:71:e6:7f:36 MAC adaptador ethernet que envía el paquete: 00:14:95:6f:4b:59
¿La misma IP con dos mac distintas? :-/
Ese es el problema, dos tarjetas con la misma IP. O accidente de configuración o intruso. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIuFGYtTMYHG2NR9URAgQmAJ9X6igOGk1NWCv+HxpRi9Ty0TTS1QCbBh6i l1YwH3lGwUQm/ZwZTxoVF4o= =qd48 -----END PGP SIGNATURE-----
2008/8/29 Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2008-08-29 a las 10:25 +0200, Camaleón escribió:
En los datos que has puesto, parece que se ve la IP del equipo y dos direcciones MAC. Los dos últimos pares de números no sé qué indican :-?
IP adaptador: 192.168.73.4 MAC adaptador ethernet que recibe el paquete: 00:18:71:e6:7f:36 MAC adaptador ethernet que envía el paquete: 00:14:95:6f:4b:59
¿La misma IP con dos mac distintas? :-/
Ese es el problema, dos tarjetas con la misma IP. O accidente de configuración o intruso.
Alguna vez pude observar esto en una red, y despues de analizar la red, descubri que se debia a algunos switchs administrables, que tenian como ip, el de otra red, por ejemplo, la red era 192.168.4.0/22 y el del switch era 11.0.2.4 y otros casos el 172.x.x.x que es con el que normalmente bienen configurados por defecto. despues de corregir esos detalles, todo se normalizo, y en ese caso tenia en mi firewall 03 tarjetas de red, de quienes sospeche inicialmente. Saludos. JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 28/08/08, Alex Rodriguez escribió:
Revisando log /var/log/messages
me encontre con esto Aug 27 13:03:55 ns kernel: martian source 192.168.73.4 from 192.168.73.4, on dev eth1
Y no tengo la menor idea de que es ... :s
Tienes un artículo de Novell sobre este mensaje: Martian sources errors showing in messages log https://secure-support.novell.com/KanisaPlatform/Publishing/849/3923798_f.SA... Así de primeras, la IP no me parece "ilegal" (fuera de rango o de clase) :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Esto suele pasar cuando por ejemplo te llega a una interfase ethx con ip por ej 192.168.0.1 un paquete destinado a 172.0.0.1. Al ser un paquete destinado a otra ip que no tiene nada que ver, lo considera "marciano" =P. Es muy común de ver en routers o redes con vlans. El jue, 28-08-2008 a las 13:57 -0600, Alex Rodriguez escribió:
Revisando log /var/log/messages
me encontre con esto Aug 27 13:03:55 ns kernel: martian source 192.168.73.4 from 192.168.73.4, on dev eth1
Y no tengo la menor idea de que es ... :s
Log completo Aug 28 13:41:55 ns kernel: martian source 192.168.73.4 from 192.168.73.4, on dev eth1 Aug 28 13:41:55 ns kernel: ll header: 00:18:71:e6:7f:36:00:14:95:6f:4b:59:08:00
Alguien sabe que es eso ? Es perjudicial ? Como se compone ?
Saludos Cordiales
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 28 de agosto de 2008 18:37, ssebbass
Esto suele pasar cuando por ejemplo te llega a una interfase ethx con ip por ej 192.168.0.1 un paquete destinado a 172.0.0.1. Al ser un paquete destinado a otra ip que no tiene nada que ver, lo considera "marciano" =P.
Es muy común de ver en routers o redes con vlans.
Es como decir que el servidor se manda paquetes a el mismo ? (localhost = 127.0.0.1) ?? No es perjudicial ? Saludos -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (6)
-
Alex Rodriguez
-
Camaleón
-
Carlos E. R.
-
J.M.Queralt
-
Juan Carlos Bravo Celis
-
ssebbass