Martian source? Dois je aller vir le SETI?

Le
Olivier Pavilla
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--enig04459F2A1F4C17F3FEB96553
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Bonjour

Dans mon /var/log/messages
J'ai ceci :
Dec 22 06:35:43 korriban kernel: [ 274.053568] cfg80211: (5250000
KHz - 5330000 KHz @ 40000 KHz), (N/A, 2000 mBm)
Dec 22 06:35:43 korriban kernel: [ 274.053572] cfg80211: (5490000
KHz - 5710000 KHz @ 40000 KHz), (N/A, 2700 mBm)
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header:
ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:47 korriban kernel: [ 278.281759] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:49 korriban kernel: [ 280.371745] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:49 korriban kernel: [ 280.371752] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:50 korriban kernel: [ 280.431507] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:50 korriban kernel: [ 280.431514] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00

Mais qu'est ce donc que c'est martiens et que faire pour m'en protéger?=

J'ai requêté le pôte de tout le monde, Google la pieuvre. Les premi=
ers
résultats ce sont des gens qui comme moi ont des martians source mais
dont peu de monde apporte une réponse en contre mesure et le reste des
premiers résultats parlent de kernel. Mais moi, je n'ai pas envie de me=

taper la compilation de KErnel. J'ai perdu l'habitude :(

Dois je appeler le SETI? Le YETI? Fox Meuld'or et sa bombshell scully?

--
Olivier Pavilla
http://www.linux-squad.com
"Les fautes d'orthographes de mes propos sont sous licence Ane bâté 1=
.0"


--enig04459F2A1F4C17F3FEB96553
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJO8sPtAAoJEM7XNMjeLGQf+lsIAJOKXBr4s4lgKKkxZ262kitG
NX81daBuve2cJQGBtsQlf+TOmlzMn/i8NwO8jKdp4Zhol4++kIeOZ6xvCl0K1m6O
xSD7vsbK9SuUI1oRnjARLQgxrT2w1mVGeI6wI6M4M9N7GTWCZMGqNC/efJRF50Ey
zEEUWoMRLZdxaeGdlXmZilxOwORYKQZsnrux46jfEarpQ80IjNSwMYQiP6kLSpIg
w/7t6cj9LPlwaYC4QeR99Pb0p4IBh1ilDgyRHsCj6rVBMOxEFKYyNQsovwPWb5Dw
K3aMYdBewqpi4bFfdfuGS7qsSg18+Pp58fjRJ1sJamM4u5Su7t1EB/5YImYXVnw=
=7yAx
--END PGP SIGNATURE--

--enig04459F2A1F4C17F3FEB96553--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4EF2C3E7.2080002@linux-squad.com
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Amanda Hinault
Le #24097811
--0015174c0f3818365304b4aaec3b
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 22 décembre 2011 06:45, Olivier Pavilla


Mais qu'est ce donc que c'est martiens et que faire pour m'en protéger?




Bonjour,

Les martiens sont des packets qui arrivent sur ton interface avec une ip
anormale.

Dans le fichier /etc/sysctl.conf tu peux activer/désactiver le log des
martiens :

# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1

Mais cette info est utile pour t'informer qu'un truc bizarre se passe sur
ton réseau. Tu devrais chercher d'où ça vient plutôt que de le cach er.

De mémoire cela peut aussi arriver quand on transforme un pc en passerell e.

--0015174c0f3818365304b4aaec3b
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable


<br>
Mais qu&#39;est ce donc que c&#39;est martiens et que faire pour m&#39;en p rotéger? <br>
Dans le fichier /etc/sysctl.conf tu peux activer/désactiver le log des ma rtiens :<br><br>
# Log Martian Packets<br>
#net.ipv4.conf.all.log_martians = 1<br>

</div></div>

--0015174c0f3818365304b4aaec3b--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAAiu44wBPXZKEW4Pfz7ZAKcZPKdw-+AeAGnaTxtAcinrkLC+=
Bruno Muller
Le #24097851
--=-MlnsTCgjtxnQQbmF+nUV
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Hello,

Le jeudi 22 décembre 2011 à 06:45 +0100, Olivier Pavilla a é crit :
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header:
ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00



(snip)

Mais qu'est ce donc que c'est martiens et que faire pour m'en protég er?



cf. http://lxr.linux.no/#linux+v3.1.6/Documentation/networking/ip-sysctl.tx t#L737

log_martians - BOOLEAN
Log packets with impossible addresses to kernel log.
log_martians for the interface will be enabled if at least one of
conf/{all,interface}/log_martians is set to TRUE,
it will be disabled otherwise


J'ai requêté le pôte de tout le monde, Google la pieuvre. Les premiers
résultats ce sont des gens qui comme moi ont des martians source mai s
dont peu de monde apporte une réponse en contre mesure et le reste d es
premiers résultats parlent de kernel. Mais moi, je n'ai pas envie de me
taper la compilation de KErnel. J'ai perdu l'habitude :(



Pas besoin de recompiler... Il y a au moins 3 solutions :
- casser le thermomètre : sysctl
- bloquer les martiens avant qu'ils n'arrivent : iptables
- chercher d'où ils viennent et faire péter leur planète

Bruno

--
AMOURS
P : Tu as déjà eu des relations sexuelles normales ?
M : C'est à dire ?
P : Avec une femelle de ton espèce ?
M : Empaillée, ça compte ?

--=-MlnsTCgjtxnQQbmF+nUV
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part
Content-Transfer-Encoding: 7bit

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iQEcBAABAgAGBQJO8vUtAAoJEAU2Po7GnYdWqSgIAKoX0QKmd4eBJcDOujGAIOt5
WASmrC9X9cYc/1AmhpXrZbnelQdLn/ZSBO5vMh5ztE/Fp4S8ghrFDbsqlFsqx2SI
L2xgmYyAYOS03dGe3XsX0z76Nw6/h5Buz9oUqEkoNXhzQxbYTdgsVC6gBi/q0+dM
S6T7JBeNyfEp9A/L2z6BjOBnwpBBHE+/Gxdrfm1CcNroRc1nMQz98G+lwJg/iUwZ
9laO0vWHpcWCj7n/Fql04067Fd8hRvqsH9NMi0Y7a9PgS9RR1FMCOtMc+wxuSaGM
uc0MPRKcTnWsczNtff5a6C9Ka30CwjK/Dl3J9He9zjSHcE7Y+lkfpC3HV4gwMmE …TY
-----END PGP SIGNATURE-----

--=-MlnsTCgjtxnQQbmF+nUV--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
nono
Le #24098231
--=-G1BGEciNaejL46snKQpf
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Le jeudi 22 décembre 2011 à 06:45 +0100, Olivier Pavilla a é crit :
Bonjour

Dans mon /var/log/messages
J'ai ceci :
Dec 22 06:35:43 korriban kernel: [ 274.053568] cfg80211: (5250000
KHz - 5330000 KHz @ 40000 KHz), (N/A, 2000 mBm)
Dec 22 06:35:43 korriban kernel: [ 274.053572] cfg80211: (5490000
KHz - 5710000 KHz @ 40000 KHz), (N/A, 2700 mBm)
Dec 22 06:35:43 korriban kernel: [ 274.154435] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:43 korriban kernel: [ 274.154440] ll header:
ff:ff:ff:ff:ff:ff:84:a8:e4:b0:f6:9d:08:00




On peut en déduire :

ff:ff:ff:ff:ff:ff = adresse MAC destination en diffusion

84:a8:e4:b0:f6:9d = adresse MAC source (source émettrice de cette tr ame)

08:00 = Frame Type qui indique que les données de la trame correspon dent
à un datagramme IP


Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0



Une carte wifi (192.168.1.1) diffuse (255.255.255.255) sur ton réseau.
Vu l'adresse 192.168.1.1 ... il y a fort à parier qu'il s'agisse d'un
point d'accès wifi qui effectue cette diffusion.

Dec 22 06:35:47 korriban kernel: [ 278.281759] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00



00:1e:64:53:31:da = adresse MAC destination (destinataire de la trame),
probablement une carte réseau Intel

84:a8:e4:b0:f6:9d = adresse MAC source (source émettrice de cette tr ame)
probablement ton point d'accès wifi

08:00 = Frame Type qui indique que les données de la trame correspon dent
à un datagramme IP

Ci-dessous les mêmes messages se répètent :

Dec 22 06:35:49 korriban kernel: [ 280.371745] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:49 korriban kernel: [ 280.371752] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00
Dec 22 06:35:50 korriban kernel: [ 280.431507] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0
Dec 22 06:35:50 korriban kernel: [ 280.431514] ll header:
00:1e:64:53:31:da:84:a8:e4:b0:f6:9d:08:00



Essaye peut-être de prendre une capture réseau pour en savoir plu s.
wireshark ou tcpdump te seront utiles.

nono


--=-G1BGEciNaejL46snKQpf
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEABECAAYFAk7zHywACgkQsuWx6lZRvlu5JACglBSwTijIDBDqN0mjYEOrAlZO
WFwAoNM8wAuk54uepE7W36yQByqkFy6H
=gEts
-----END PGP SIGNATURE-----

--=-G1BGEciNaejL46snKQpf--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Stephane Bortzmeyer
Le #24102101
On Thu, Dec 22, 2011 at 06:45:11AM +0100,
Olivier Pavilla a message of 77 lines which said:

Dec 22 06:35:47 korriban kernel: [ 278.281753] martian source
255.255.255.255 from 192.168.1.1, on dev wlan0



À l'excellente et détaillée réponse de nono, je rajoute qu'il ne faut
surtout pas paniquer. Il y a des choses bizarres sur l'Internet, et si
vous perdez le sommeil à chaque paquet martien, vous n'êtes pas prêt
de dormir.

Ensuite, la grande majorité des discussions sur des forums à ce sujet
raconte n'importe quoi, notamment en confondant source et
destination. Il faut dire que le message du noyau n'est pas des plus
clairs. Mais le source l'est (sur un 2.6) :

/*
* RFC1812 recommendation, if source is martian,
* the only hint is MAC header.
*/
printk(KERN_WARNING "martian source %pI4 from %pI4, on dev %sn",
&daddr, &saddr, dev->name);

La première adresse est donc l'adresse de DESTINATION, la seconde
étant la SOURCE. Ici, c'est donc 192.168.1.1 qui a écrit à
255.255.255.255, l'adresse de diffusion. C'est donc déjà beaucoup
moins inquiétant et un simple tcpdump vous dira en général de quoi il
s'agit. J'ai fait le tour de mes machines Debian et j'en ai trouvé une
qui crachait :

Dec 23 21:39:38 ada kernel: [395181.072055] martian source 255.255.255.255 from 169.254.197.219, on dev eth1

Alors que tcpdump me dit, au même moment :

21:39:38.917331 IP (tos 0x0, ttl 255, id 41143, offset 0, flags [none], proto UDP (17), length 382)
169.254.197.219.68 > 255.255.255.255.67: [no cksum] BOOTP/DHCP, Request from 40:01:c6:cc:c5:dc, length 354, xid 0x90c9d043, Flags [Broadcast] (0x8000)
Client-Ethernet-Address 40:01:c6:cc:c5:dc
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Hostname Option 12, length 20: "3Com Baseline Switch"

Vous voyez ? C'est un simple client DHCP qui réclame une adresse. Pas
de quoi s'affoler. L'option "hostname" nous dit même de quel modèle il
s'agit.

Maintenant, pourquoi Linux considère ceci comme un martien ? Dans le
cas de ma machine, la table de routage dit :

% route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
204.62.14.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.9.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 204.62.14.1 0.0.0.0 UG 0 0 0 eth0

Pour écrire à 169.254.197.219, on passerait donc par la route par
défaut, en eth0. Mais le paquet vient de eth1 ! Linux, par défaut,
trouve cela suspect. Si on l'estime excessivement paranoïaque (après
tous, ces adresses sont normalement sur plusieurs liens physiques,
cf. pour le faire taire.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme