[LUG.ro] Errores en nucleo smp

Ramiro Caire lugro@lugro.org.ar
Tue, 02 May 2006 15:12:36 -0300 

no siempre es un ataque, hay situaciones en que en una lan o:

1- utilizan dos nros de redes en el mismo switch

o 

2- estan migrando paulatinamente de nros ip de la lan


entonces en esa interfaz, que esta configurada con una ip determinada,
recibe paquetes "marcianos" de otro nro ip.
En cualquiera de los dos casos produce inundacion de la tabla arp.


Saludos
Rama


El mar, 02-05-2006 a las 09:04 -0300, Linux Adict escribió:
> Antes que nada.. no creo que sea el loopback.. fijate que el mensaje
> dice "martian source on dev eth0"
> Estas teniendo mas de 26000 entradas en el cache arp.. y hay registrada
> solo una MAC (00:0e:0c:3c:5d:13:00:12:a9:c1:b9:20:08:00) me parece que
> esto es un ataque...
> Subiendo el mximo cacheable de arp (echo "4096" >
> /proc/sys/net/ipv4/neigh/default/gc_thresh3) lo que estas haciendo es
> facilitar el trabajo al atacante.. estas dandole mas recursos para que
> inunde y lograr un DoS.
> En caso de que sea efectivamente un ataque deberias tomar medidas sobre
> el asunto (quizas usar iptables para bloquear ese flood)
> Saludos
> 
> MEY
> 
> 
> >
> > Asegurate que en /etc/hosts tienes
> >
> > 127.0.0.0 localhost localhost.localdomain
> >
> > Ejecuta esta linea y revisa con dmesg si el mensaje Neighbour table 
> > overflow desaparece:
> >
> > echo "4096" > /proc/sys/net/ipv4/neigh/default/gc_thresh3
> >
> > Si desaparece, entonces agrega esa linea en tu rc.local para que se 
> > ejecute cada vez que reincias tu maquina."
> >
> > Quizas te sirva----
> >
> > -----------------------------------------------------------------
> > martian source 172.21.200.220 from 172.21.0.0, on dev eth0
> > ll header: 00:0e:0c:3c:5d:13:00:12:a9:c1:b9:20:08:00
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > Neighbour table overflow.
> > printk: 24797 messages suppressed.
> > Neighbour table overflow.
> > printk: 26576 messages suppressed.
> > Neighbour table overflow.
> > ------------------------------------------------------------------------
> 
> 
> 
> 
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>