This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig04459F2A1F4C17F3FEB96553
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable
Bonjour
Dans mon /var/log/messages
J'ai ceci :
Dec 22 06:35:43 korriban kernel: [ 274.053568] cfg80211: (5250000
KHz - 5330000 KHz @ 40000 KHz), (N/A, 2000 mBm)
Dec 22 06:35:43 korriban kernel: [ 274.053572] cfg80211: (5490000
KHz - 5710000 KHz @ 40000 KHz), (N/A, 2700 mBm)
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header:
ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:47 korriban kernel: [ 278.281759] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:49 korriban kernel: [ 280.371745] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:49 korriban kernel: [ 280.371752] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:50 korriban kernel: [ 280.431507] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:50 korriban kernel: [ 280.431514] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Mais qu'est ce donc que c'est martiens et que faire pour m'en prot=E9ger?=
J'ai requ=EAt=E9 le p=F4te de tout le monde, Google la pieuvre. Les premi=
ers
r=E9sultats ce sont des gens qui comme moi ont des martians source mais
dont peu de monde apporte une r=E9ponse en contre mesure et le reste des
premiers r=E9sultats parlent de kernel. Mais moi, je n'ai pas envie de me=
taper la compilation de KErnel. J'ai perdu l'habitude :(
Dois je appeler le SETI? Le YETI? Fox Meuld'or et sa bombshell scully?
--
Olivier Pavilla
http://www.linux-squad.com
"Les fautes d'orthographes de mes propos sont sous licence Ane b=E2t=E9 1=
=2E0"
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4EF2C3E7.2080002@linux-squad.com
<br><br><div class="gmail_quote">Le 22 décembre 2011 06:45, Olivier Pav illa <span dir="ltr"><<a href="mailto: m"></a>></span> a écrit :<br><blockquot e class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc sol id;padding-left:1ex">
<br> Mais qu'est ce donc que c'est martiens et que faire pour m'en p rotéger?<br></blockquote><div><br>Bonjour,<br><br>Les martiens sont des p ackets qui arrivent sur ton interface avec une ip anormale.<br> <br> Dans le fichier /etc/sysctl.conf tu peux activer/désactiver le log des ma rtiens :<br><br> # Log Martian Packets<br> #net.ipv4.conf.all.log_martians = 1<br> <br>Mais cette info est utile pour t'informer qu'un truc bizarre se passe sur ton réseau. Tu devrais chercher d'où ça vient plutôt que de le cacher.<br><br>De mémoire cela peut aussi arriver quand on tra nsforme un pc en passerelle.<br>
<br><br><div class="gmail_quote">Le 22 décembre 2011 06:45, Olivier Pav illa <span dir="ltr"><<a href="mailto:olivier.pavilla@linux-squad.co m">olivier.pavilla@linux-squad.com</a>></span> a écrit :<br><blockquot e class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc sol id;padding-left:1ex">
<br>
Mais qu'est ce donc que c'est martiens et que faire pour m'en p rotéger?<br></blockquote><div><br>Bonjour,<br><br>Les martiens sont des p ackets qui arrivent sur ton interface avec une ip anormale.<br>
<br>
Dans le fichier /etc/sysctl.conf tu peux activer/désactiver le log des ma rtiens :<br><br>
# Log Martian Packets<br>
#net.ipv4.conf.all.log_martians = 1<br>
<br>Mais cette info est utile pour t'informer qu'un truc bizarre se passe sur ton réseau. Tu devrais chercher d'où ça vient plutôt que de le cacher.<br><br>De mémoire cela peut aussi arriver quand on tra nsforme un pc en passerelle.<br>
</div></div>
--0015174c0f3818365304b4aaec3b--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAAiu44wBPXZKEW4Pfz7ZAKcZPKdw-+AeAGnaTxtAcinrkLC+=w@mail.gmail.com
<br><br><div class="gmail_quote">Le 22 décembre 2011 06:45, Olivier Pav illa <span dir="ltr"><<a href="mailto: m"></a>></span> a écrit :<br><blockquot e class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc sol id;padding-left:1ex">
<br> Mais qu'est ce donc que c'est martiens et que faire pour m'en p rotéger?<br></blockquote><div><br>Bonjour,<br><br>Les martiens sont des p ackets qui arrivent sur ton interface avec une ip anormale.<br> <br> Dans le fichier /etc/sysctl.conf tu peux activer/désactiver le log des ma rtiens :<br><br> # Log Martian Packets<br> #net.ipv4.conf.all.log_martians = 1<br> <br>Mais cette info est utile pour t'informer qu'un truc bizarre se passe sur ton réseau. Tu devrais chercher d'où ça vient plutôt que de le cacher.<br><br>De mémoire cela peut aussi arriver quand on tra nsforme un pc en passerelle.<br>
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0 Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header: ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00
log_martians - BOOLEAN Log packets with impossible addresses to kernel log. log_martians for the interface will be enabled if at least one of conf/{all,interface}/log_martians is set to TRUE, it will be disabled otherwise
--=-MlnsTCgjtxnQQbmF+nUV Content-Type: application/pgp-signature; name="signature.asc" Content-Description: This is a digitally signed message part Content-Transfer-Encoding: 7bit
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header:
ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00
log_martians - BOOLEAN
Log packets with impossible addresses to kernel log.
log_martians for the interface will be enabled if at least one of
conf/{all,interface}/log_martians is set to TRUE,
it will be disabled otherwise
--=-MlnsTCgjtxnQQbmF+nUV
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit
iQEcBAABAgAGBQJO8vUtAAoJEAU2Po7GnYdWqSgIAKoX0QKmd4eBJcDOujGAIOt5
WASmrC9X9cYc/1AmhpXrZbnelQdLn/ZSBO5vMh5ztE/Fp4S8ghrFDbsqlFsqx2SI
L2xgmYyAYOS03dGe3XsX0z76Nw6/h5Buz9oUqEkoNXhzQxbYTdgsVC6gBi/q0+dM
S6T7JBeNyfEp9A/L2z6BjOBnwpBBHE+/Gxdrfm1CcNroRc1nMQz98G+lwJg/iUwZ
9laO0vWHpcWCj7n/Fql04067Fd8hRvqsH9NMi0Y7a9PgS9RR1FMCOtMc+wxuSaGM
uc0MPRKcTnWsczNtff5a6C9Ka30CwjK/Dl3J9He9zjSHcE7Y+lkfpC3HV4gwMmE TY
-----END PGP SIGNATURE-----
--=-MlnsTCgjtxnQQbmF+nUV--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1324545324.31075.8.camel@vanille.inertiacreeps.net
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0 Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header: ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00
log_martians - BOOLEAN Log packets with impossible addresses to kernel log. log_martians for the interface will be enabled if at least one of conf/{all,interface}/log_martians is set to TRUE, it will be disabled otherwise
--=-MlnsTCgjtxnQQbmF+nUV Content-Type: application/pgp-signature; name="signature.asc" Content-Description: This is a digitally signed message part Content-Transfer-Encoding: 7bit
Dec 22 06:35:49 korriban kernel: [ 280.371745] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0 Dec 22 06:35:49 korriban kernel: [ 280.371752] ll header: 00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00 Dec 22 06:35:50 korriban kernel: [ 280.431507] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0 Dec 22 06:35:50 korriban kernel: [ 280.431514] ll header: 00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:49 korriban kernel: [ 280.371745] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:49 korriban kernel: [ 280.371752] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:50 korriban kernel: [ 280.431507] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:50 korriban kernel: [ 280.431514] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1324556097.4162.41.camel@debby
Dec 22 06:35:49 korriban kernel: [ 280.371745] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0 Dec 22 06:35:49 korriban kernel: [ 280.371752] ll header: 00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00 Dec 22 06:35:50 korriban kernel: [ 280.431507] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0 Dec 22 06:35:50 korriban kernel: [ 280.431514] ll header: 00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Stephane Bortzmeyer
On Thu, Dec 22, 2011 at 06:45:11AM +0100, Olivier Pavilla wrote a message of 77 lines which said:
Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0
À l'excellente et détaillée réponse de nono, je rajoute qu'il ne faut surtout pas paniquer. Il y a des choses bizarres sur l'Internet, et si vous perdez le sommeil à chaque paquet martien, vous n'êtes pas prêt de dormir.
Ensuite, la grande majorité des discussions sur des forums à ce sujet raconte n'importe quoi, notamment en confondant source et destination. Il faut dire que le message du noyau n'est pas des plus clairs. Mais le source l'est (sur un 2.6) :
/* * RFC1812 recommendation, if source is martian, * the only hint is MAC header. */ printk(KERN_WARNING "martian source %pI4 from %pI4, on dev %sn", &daddr, &saddr, dev->name);
La première adresse est donc l'adresse de DESTINATION, la seconde étant la SOURCE. Ici, c'est donc 192.168.1.1 qui a écrit à 255.255.255.255, l'adresse de diffusion. C'est donc déjà beaucoup moins inquiétant et un simple tcpdump vous dira en général de quoi il s'agit. J'ai fait le tour de mes machines Debian et j'en ai trouvé une qui crachait :
Dec 23 21:39:38 ada kernel: [395181.072055] martian source 255.255.255.255 from 169.254.197.219, on dev eth1
Vous voyez ? C'est un simple client DHCP qui réclame une adresse. Pas de quoi s'affoler. L'option "hostname" nous dit même de quel modèle il s'agit.
Maintenant, pourquoi Linux considère ceci comme un martien ? Dans le cas de ma machine, la table de routage dit :
% route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 204.62.14.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.9.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 204.62.14.1 0.0.0.0 UG 0 0 0 eth0
Pour écrire à 169.254.197.219, on passerait donc par la route par défaut, en eth0. Mais le paquet vient de eth1 ! Linux, par défaut, trouve cela suspect. Si on l'estime excessivement paranoïaque (après tous, ces adresses sont normalement sur plusieurs liens physiques, cf. <http://www.bortzmeyer.org/3927.html>), on peut utiliser sysctl pour le faire taire.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Thu, Dec 22, 2011 at 06:45:11AM +0100,
Olivier Pavilla <olivier.pavilla@linux-squad.com> wrote
a message of 77 lines which said:
Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
À l'excellente et détaillée réponse de nono, je rajoute qu'il ne faut
surtout pas paniquer. Il y a des choses bizarres sur l'Internet, et si
vous perdez le sommeil à chaque paquet martien, vous n'êtes pas prêt
de dormir.
Ensuite, la grande majorité des discussions sur des forums à ce sujet
raconte n'importe quoi, notamment en confondant source et
destination. Il faut dire que le message du noyau n'est pas des plus
clairs. Mais le source l'est (sur un 2.6) :
/*
* RFC1812 recommendation, if source is martian,
* the only hint is MAC header.
*/
printk(KERN_WARNING "martian source %pI4 from %pI4, on dev %sn",
&daddr, &saddr, dev->name);
La première adresse est donc l'adresse de DESTINATION, la seconde
étant la SOURCE. Ici, c'est donc 192.168.1.1 qui a écrit à
255.255.255.255, l'adresse de diffusion. C'est donc déjà beaucoup
moins inquiétant et un simple tcpdump vous dira en général de quoi il
s'agit. J'ai fait le tour de mes machines Debian et j'en ai trouvé une
qui crachait :
Dec 23 21:39:38 ada kernel: [395181.072055] martian source 255.255.255.255 from 169.254.197.219, on dev eth1
Vous voyez ? C'est un simple client DHCP qui réclame une adresse. Pas
de quoi s'affoler. L'option "hostname" nous dit même de quel modèle il
s'agit.
Maintenant, pourquoi Linux considère ceci comme un martien ? Dans le
cas de ma machine, la table de routage dit :
% route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
204.62.14.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.9.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 204.62.14.1 0.0.0.0 UG 0 0 0 eth0
Pour écrire à 169.254.197.219, on passerait donc par la route par
défaut, en eth0. Mais le paquet vient de eth1 ! Linux, par défaut,
trouve cela suspect. Si on l'estime excessivement paranoïaque (après
tous, ces adresses sont normalement sur plusieurs liens physiques,
cf. <http://www.bortzmeyer.org/3927.html>), on peut utiliser sysctl
pour le faire taire.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111223214614.GA26527@sources.org
On Thu, Dec 22, 2011 at 06:45:11AM +0100, Olivier Pavilla wrote a message of 77 lines which said:
Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source 255.255.255.255 from 192.168.1.1, on dev wlan0
À l'excellente et détaillée réponse de nono, je rajoute qu'il ne faut surtout pas paniquer. Il y a des choses bizarres sur l'Internet, et si vous perdez le sommeil à chaque paquet martien, vous n'êtes pas prêt de dormir.
Ensuite, la grande majorité des discussions sur des forums à ce sujet raconte n'importe quoi, notamment en confondant source et destination. Il faut dire que le message du noyau n'est pas des plus clairs. Mais le source l'est (sur un 2.6) :
/* * RFC1812 recommendation, if source is martian, * the only hint is MAC header. */ printk(KERN_WARNING "martian source %pI4 from %pI4, on dev %sn", &daddr, &saddr, dev->name);
La première adresse est donc l'adresse de DESTINATION, la seconde étant la SOURCE. Ici, c'est donc 192.168.1.1 qui a écrit à 255.255.255.255, l'adresse de diffusion. C'est donc déjà beaucoup moins inquiétant et un simple tcpdump vous dira en général de quoi il s'agit. J'ai fait le tour de mes machines Debian et j'en ai trouvé une qui crachait :
Dec 23 21:39:38 ada kernel: [395181.072055] martian source 255.255.255.255 from 169.254.197.219, on dev eth1
Vous voyez ? C'est un simple client DHCP qui réclame une adresse. Pas de quoi s'affoler. L'option "hostname" nous dit même de quel modèle il s'agit.
Maintenant, pourquoi Linux considère ceci comme un martien ? Dans le cas de ma machine, la table de routage dit :
% route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 204.62.14.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.9.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 204.62.14.1 0.0.0.0 UG 0 0 0 eth0
Pour écrire à 169.254.197.219, on passerait donc par la route par défaut, en eth0. Mais le paquet vient de eth1 ! Linux, par défaut, trouve cela suspect. Si on l'estime excessivement paranoïaque (après tous, ces adresses sont normalement sur plusieurs liens physiques, cf. <http://www.bortzmeyer.org/3927.html>), on peut utiliser sysctl pour le faire taire.