修复内核环缓冲区中有关火星数据包的警告是否重要？

Question

这些是我在运行dmesg时看到的输出

[1373335.656608] device eth0 entered promiscuous mode
[1373364.891962] device eth1 entered promiscuous mode
[1374537.599978] IPv4: martian source 10.5.0.2 from 203.115.192.116, on dev eth0
[1374562.256536] device eth1 left promiscuous mode
[1375229.342282] device eth1 entered promiscuous mode
[1376178.967446] device eth0 left promiscuous mode
[1376182.455498] device eth0 entered promiscuous mode

• Q1)我知道火星数据包有使用不可路由I的源地址.这个主机是一个具有短暂公共IP的Google计算实例。“火星源10.5.0.2来自203.115.192.116”是什么意思？
• Q2)我应该过滤这些(为了安全起见)吗？

Answer 1

如果假设的应答包将通过不同的接口路由，则到达接口的数据包被视为“火星人”。在您的示例中，203.115.192.116向10.5.0.2发送了一个数据包，该数据包到达了您的eth0接口。如果10.5.0.2是您的地址，ip route get 203.115.192.116正确地报告了一个与eth0不同的接口，并且您实际上打算执行这样的非对称路由，那么这些火星日志应该被禁用如下

echo 0 > /proc/sys/net/ipv4/conf/eth0/log_martians

rp_filter也必须被禁用。否则(这似乎更有可能)会有一个应该修复的路由问题。如果不能修复它(在托管云环境中是非常可能的)，您可以像上面这样完全禁用日志记录，或者通过iptables更有选择地删除它(不过，过滤器链可能太晚了)。

Answer 2

火星分组是当在该接口中看到预期的本地地址时(例如，与该分组的另一个网络局部的网络本地的分组)。

虽然这不是一个明智的网络设计，但它可能会发生一些网络有“火星”包的设计(例如，VLAN/物理网络与多个逻辑网络)。

如果您在服务器中使用iptables，那么过滤出您不应该看到的数据包可能是个不错的主意。

但是请注意，虽然我会让火星日志记录在生产前的设置中，但我更倾向于不记录火星人，因为它通常会生成大量日志，并对您的I/O操作征税。