Re: Re: martian source ..., on dev eth0
Soweit ich weiß, ist 82.227.12.254 ist ungültige Quelladresse und 255.255.255.255 ist das Ziel. Daher (Broadcast) kommt das Paket dann auch auf dem betreffenden Rechner an, der das aber als Marsianer erkennt, da 82.227.12.254 nicht zum gültigen Subnet gehört. Torsten
Re: martian source ..., on dev eth0
Hallo Klaus, Am Freitag, 4. Februar 2005 21:58 schrieb Klaus Becker: > danke für die Erläuterung und die Adresse. Noch eine Frage: wie > kommt es zu solchen ungültigen Adressen? Das könnte eine Windows-Spezialität sein. Gelegentlich hängt jemand in meine Netze irgendwelche Windows-Rechner, die dann erstmal das Netz durchsuchen. Sie sind zu dem Zeitpunkt von ihrer IP-Adresse her noch nicht für das Netz konfiguriert. Ich erhalte dann an der betroffenen Ethernet-Karte (bei Dir also eth0) Martian-Meldungen z.B. der Form (Auszug): martian source 169.254.117.255 from 169.254.117.91, on dev eth2 ... martian source 169.254.255.255 from 169.254.117.91, on dev eth2 ... martian source 169.255.255.255 from 169.254.117.91, on dev eth2 ... martian source 255.255.255.255 from 169.254.117.91, on dev eth2 ... Ist also, soweit ich das sehe, wohl eine relativ harmlose Sache. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Re: martian source ..., on dev eth0
am Sat, dem 05.02.2005, um 11:55:48 +0100 mailte Klaus Becker folgendes: > Le Samedi 5 Février 2005 11:42, Andreas Kretschmer a écrit : > > am Sat, dem 05.02.2005, um 11:36:57 +0100 mailte Klaus Becker folgendes: > > > also hat vielleicht jdm versucht, feindliche Programme oder Dateien > > > zwecks Daten-Schnüffeln oder Missbrauch meines Rechners bei mir > > > unterzubringen? > > > > Möglich, ja. > > > > Aber unwahrscheinlich, daß es speziell gegen Dich bzw. Deinen Rechner > > geht. Das ist eher das normale Rauschen im Internet. > > Was ist "normales Rauschen im Internet"? kaufbach:/home/kretschmer# grep -i iptables /var/log/messages | tail Feb 5 11:59:06 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=217.235.17.44 DST=217.235.34.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=28 ID=28243 DF PROTO=TCP SPT=4729 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 Feb 5 11:59:08 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=217.235.251.200 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=36847 DF PROTO=TCP SPT=3161 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 Feb 5 11:59:09 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=217.235.17.44 DST=217.235.34.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=28 ID=28377 DF PROTO=TCP SPT=4729 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 Feb 5 11:59:11 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=217.235.251.200 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=37219 DF PROTO=TCP SPT=3161 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 Feb 5 11:59:14 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=217.235.66.82 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=25665 DF PROTO=TCP SPT=2539 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 Feb 5 12:00:15 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=213.204.4.151 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=20383 DF PROTO=TCP SPT=3013 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0 Feb 5 12:00:18 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=213.204.4.151 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=20453 DF PROTO=TCP SPT=3013 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0 Feb 5 12:00:24 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=213.204.4.151 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=20609 DF PROTO=TCP SPT=3013 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0 Feb 5 12:01:38 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=217.235.73.207 DST=217.235.34.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=29989 DF PROTO=TCP SPT=2763 DPT=445 WINDOW=8576 RES=0x00 SYN URGP=0 Feb 5 12:03:57 kaufbach kernel: IPTABLES: IN=ppp0 OUT= MAC= SRC=83.157.149.90 DST=217.235.34.xxx LEN=44 TOS=0x00 PREC=0x00 TTL=247 ID=58345 PROTO=TCP SPT=1773 DPT=6101 WINDOW=65535 RES=0x00 SYN URGP=0 > > > Logge doch einfach mal mit iptables, was alles so an Deinen Rechner mit > > Zielport 137, 139, 445, 4662 und Co. alles so ankommt - halte aber eine > > groß genug dimensionierte Partition bereit ;-) > > Dazu reichen meine Linux-Kenntnisse (noch) nicht aus. Arbeite dran, lohnt sich. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: martian source ..., on dev eth0
Le Samedi 5 Février 2005 11:42, Andreas Kretschmer a écrit : > am Sat, dem 05.02.2005, um 11:36:57 +0100 mailte Klaus Becker folgendes: > > also hat vielleicht jdm versucht, feindliche Programme oder Dateien > > zwecks Daten-Schnüffeln oder Missbrauch meines Rechners bei mir > > unterzubringen? > > Möglich, ja. > > Aber unwahrscheinlich, daß es speziell gegen Dich bzw. Deinen Rechner > geht. Das ist eher das normale Rauschen im Internet. Was ist "normales Rauschen im Internet"? > Logge doch einfach mal mit iptables, was alles so an Deinen Rechner mit > Zielport 137, 139, 445, 4662 und Co. alles so ankommt - halte aber eine > groß genug dimensionierte Partition bereit ;-) Dazu reichen meine Linux-Kenntnisse (noch) nicht aus. Klaus
Re: martian source ..., on dev eth0
am Sat, dem 05.02.2005, um 11:36:57 +0100 mailte Klaus Becker folgendes: > also hat vielleicht jdm versucht, feindliche Programme oder Dateien zwecks > Daten-Schnüffeln oder Missbrauch meines Rechners bei mir unterzubringen? Möglich, ja. Aber unwahrscheinlich, daß es speziell gegen Dich bzw. Deinen Rechner geht. Das ist eher das normale Rauschen im Internet. Logge doch einfach mal mit iptables, was alles so an Deinen Rechner mit Zielport 137, 139, 445, 4662 und Co. alles so ankommt - halte aber eine groß genug dimensionierte Partition bereit ;-) Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: martian source ..., on dev eth0
Le Vendredi 4 Février 2005 22:18, Hugo Wau a écrit : > Am Freitag, den 04.02.2005, 21:58 +0100 schrieb Klaus Becker: > > danke für die Erläuterung und die Adresse. Noch eine Frage: wie kommt es > > zu solchen ungültigen Adressen? > > Hallo Klaus, > > denkbar sind Fehler in Router oder Software. > Unwahrscheinlich: Fehlerhafte Einstellungen beim Absender der Pakete. > Aus dem Internet wahrscheinlich: kriminelle Energie zur Verschleierung > des tatsaechlichen Absenders. Grundsaetzlich ist es technisch moeglich, > Pakete mit jeder beliebigen Absender-IP-Adresse auf den Weg zu schicken. > Die Pakete kommen in der Regel auch an. Nur zurueck zum realen Absender > kann nichts kommen, was dieser Absender auch nicht wuenscht. > Hallo Hugo, also hat vielleicht jdm versucht, feindliche Programme oder Dateien zwecks Daten-Schnüffeln oder Missbrauch meines Rechners bei mir unterzubringen? Klaus
Re: martian source ..., on dev eth0
Hallo Klaus, Am Freitag, 4. Februar 2005 21:01 schrieb Klaus Becker: > kernel: martian source 255.255.255.255 from 82.227.12.254, on dev > eth0 Ich muss gestehen, dass ich mir nicht so ganz sicher bin. Aber ich verstehe das so, daß jemand, der vorgibt die Adresse 82.227.12.254 zu haben, einen Broadcast über das gesamte vorhanden Netz oder gar Internet versucht. 255 ist ja in der jeweiligen Subnetzen im allgemeinen die Broadcast-Adresse... Jedenfalls erwartet Deine Konfiguration an der Netzwerkkarte eth0 keine Ansprache durch den Rechner 82.227.12.254 und bewertet das als "Quelle vom Mars" - wobei Mars ja auch der Kriegsgott ist und deswegen man das ganze auch als feindlich verstehen kann. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Re: martian source ..., on dev eth0
Klaus Becker wrote: > danke für die Erläuterung und die Adresse. Noch eine Frage: wie kommt es zu > solchen ungültigen Adressen? Indem jemand die source IP fälscht, vermutlich in böser Absicht. Gerald
Re: martian source ..., on dev eth0
Am Freitag, den 04.02.2005, 21:58 +0100 schrieb Klaus Becker: > danke für die Erläuterung und die Adresse. Noch eine Frage: wie kommt es zu > solchen ungültigen Adressen? > Hallo Klaus, denkbar sind Fehler in Router oder Software. Unwahrscheinlich: Fehlerhafte Einstellungen beim Absender der Pakete. Aus dem Internet wahrscheinlich: kriminelle Energie zur Verschleierung des tatsaechlichen Absenders. Grundsaetzlich ist es technisch moeglich, Pakete mit jeder beliebigen Absender-IP-Adresse auf den Weg zu schicken. Die Pakete kommen in der Regel auch an. Nur zurueck zum realen Absender kann nichts kommen, was dieser Absender auch nicht wuenscht. Ciao Hugo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: martian source ..., on dev eth0
Le Vendredi 4 Février 2005 21:47, Gerald Holl a écrit : > Klaus Becker wrote: > > kannst du mir das ein bisschen mehr erklären? Und kann ich da was machen? > > Im Prinzip geht's darum, daß der Rechner ein Paket mit einer IP Adresse > erhält, die nicht gültig ist. Das obige Paket mit der IP 255.255.255.255 > hat deswegen eine ungültige IP, weil 255 der Broadcast ist und solche > Pakete nicht geroutet werden (im Internet, im internen Netz je nach > config jedoch schon). Martian source IPs sind u.a. auch solche, welche > in der Bereich der für [1]private zwecke reservierten IPs fallen, denn > solche IPs werden ebenfalls nicht übers Internet geroutet. > > Was man dagegen tun kann? Entweder mit iptables solche IPs blocken oder > mit den "Fehlermeldungen" leben lernen ;) > > Gerald danke für die Erläuterung und die Adresse. Noch eine Frage: wie kommt es zu solchen ungültigen Adressen? Klaus > > > [1] http://www.tcp-ip-info.de/TschiTschi/ip_adressierung.htm
Re: martian source ..., on dev eth0
Klaus Becker wrote: > kannst du mir das ein bisschen mehr erklären? Und kann ich da was machen? Im Prinzip geht's darum, daß der Rechner ein Paket mit einer IP Adresse erhält, die nicht gültig ist. Das obige Paket mit der IP 255.255.255.255 hat deswegen eine ungültige IP, weil 255 der Broadcast ist und solche Pakete nicht geroutet werden (im Internet, im internen Netz je nach config jedoch schon). Martian source IPs sind u.a. auch solche, welche in der Bereich der für [1]private zwecke reservierten IPs fallen, denn solche IPs werden ebenfalls nicht übers Internet geroutet. Was man dagegen tun kann? Entweder mit iptables solche IPs blocken oder mit den "Fehlermeldungen" leben lernen ;) Gerald [1] http://www.tcp-ip-info.de/TschiTschi/ip_adressierung.htm
Re: martian source ..., on dev eth0
Le Vendredi 4 Février 2005 21:09, Andreas Kretschmer a écrit : > am Fri, dem 04.02.2005, um 21:01:50 +0100 mailte Klaus Becker folgendes: > > kernel: martian source 255.255.255.255 from 82.227.12.254, on dev eth0 > > > > Per Google habe ich gefunden, dass es sich um eine Fehlermeldung handelt, > > aber welche in meinem Fall? > > Das kommt auf den Kontext insgesamt an. Möglicherweise harmlos, weil > Pakete mit gespoofter Absernderadresse erkannt wurden. Möglicherweise > nachdenkeswert, wenn Fälle von asymetrischem Routing vorliegen. Dazu > müßte man *etwas* mehr wissen. Ja, aber was? Ich hab' von Netzwerken & Co wenig Ahnung Klaus
Re: martian source ..., on dev eth0
Le Vendredi 4 Février 2005 21:09, Gerald Holl a écrit : > Klaus Becker wrote: > > kernel: martian source 255.255.255.255 from 82.227.12.254, on dev eth0 > > > > > > Per Google habe ich gefunden, dass es sich um eine Fehlermeldung handelt, > > aber welche in meinem Fall? > > Hallo! > > Pakete mit einer martian source sind solche, welche eine ungültige > Source Adresse haben, wie in deinem Fall 255.255.255.255 Hallo Gerald, kannst du mir das ein bisschen mehr erklären? Und kann ich da was machen? Klaus
Re: martian source ..., on dev eth0
Klaus Becker wrote: > kernel: martian source 255.255.255.255 from 82.227.12.254, on dev eth0 > > > Per Google habe ich gefunden, dass es sich um eine Fehlermeldung handelt, > aber > welche in meinem Fall? Hallo! Pakete mit einer martian source sind solche, welche eine ungültige Source Adresse haben, wie in deinem Fall 255.255.255.255 cheers, Gerald
Re: martian source ..., on dev eth0
am Fri, dem 04.02.2005, um 21:01:50 +0100 mailte Klaus Becker folgendes: > kernel: martian source 255.255.255.255 from 82.227.12.254, on dev eth0 > > Per Google habe ich gefunden, dass es sich um eine Fehlermeldung handelt, > aber > welche in meinem Fall? Das kommt auf den Kontext insgesamt an. Möglicherweise harmlos, weil Pakete mit gespoofter Absernderadresse erkannt wurden. Möglicherweise nachdenkeswert, wenn Fälle von asymetrischem Routing vorliegen. Dazu müßte man *etwas* mehr wissen. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
martian source ..., on dev eth0
n'Abend allerseits, in /var/mail/logcheck finde ich jede Menge Einträge der folgenden Art: kernel: martian source 255.255.255.255 from 82.227.12.254, on dev eth0 Per Google habe ich gefunden, dass es sich um eine Fehlermeldung handelt, aber welche in meinem Fall? Ich habe weder tcpdump noch ipp0 (davon war u. A. auf dem Web die Rede) Klaus