我们间歇地kernel: martian source在几个服务器上看到eth0的日志条目。有趣的是，它们在相同的IP之间来回。例如：

Nov  4 02:20:27 tcffmppr6db09 kernel: martian source 10.153.242.13 from 10.153.242.13, on dev eth0.3171

这仅在几个服务器上发生。大约有60个eth0以相同的方式配置（显然，不同的IP）。

我应该怎么看才能找到答案？

编辑：

该特定接口的路由是默认路由，因此我认为这与发送错误的接口无关。

问题

我今天遇到了同样的问题，火星数据包淹没了我的内核日志。所有火星数据包都从相同的公用IP地址eth0到相同的公用IP地址eth0（实际IP和标头已删除）。

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

经过研究，我发现原因是隐藏在ll header火星数据包中。

理论

假设在以太网连接中，它ll header实际上显示了以太网Type II帧的开始部分，该帧包含目标MAC地址，源MAC地址，而ID表示数据包其余部分的类型。

如您所见，前6个字节是目标MAC地址，后6个字节是源MAC地址，后2个字节是代码。常见的代码是：

• 08 00：IP数据包
• 86 dd：IPv6数据包
• 08 06：ARP数据包

说明

回到我的例子。

IPv4: martian source x.x.x.x from x.x.x.x, on dev eth0
ll header: 00000000: aa bb cc dd ee ff gg hh ii jj kk ll 08 00

这告诉我们，

• 收到一个包含相同源和目标IP地址的数据包。
• 它是由发送的GG:HH:II:JJ:KK:LL，这是我不知道的MAC地址。
• 它的目的地是AA:BB:CC:DD:EE:FF，这是我自己的MAC地址。
• 这是一个IP数据包（08 00）。

如果数据包具有相同的源IP地址和目标IP地址，则必须通过相同的网络接口发送该数据包，但是源MAC地址和目标MAC地址不同！怎么可能呢？

因此，很明显，数据包来自火星，可能是存在一些路由问题，网络中的计算机已配置，或者有人试图欺骗IP / MAC地址。下一步是检查有问题的源MAC地址。

火星数据包不过是IP数据包，它指定了保留给Internet号码分配机构（IANA）专用的源地址或目标地址。

以下是此类地址块的示例：

• 10.0.0.0/8
• 127.0.0.0/8
• 224.0.0.0/4
• 240.0.0.0/4
• :: / 128
• :: / 96
• :: 1/128

要对此进行追踪，您有几种选择。您可以忽略它，可以通过防火墙阻止它，也可以使用tcpdump或wireshark剖析数据包的内容，这很可能使您了解导致此问题的原因。

附加说明和来源

搜索时显示的另一个短语如下：

这些是Linux不会从其发出的方向获得的数据包（即来自内部主机的数据包从外部接口进入）。原因可能是局域网上的计算机配置错误。您可以关闭日志通过这些数据包 /proc/sys/net/ipv4/conf/interface/log_martians这是记录 /usr/src/linux/Documentation/proc.txt

我找不到此段的原始来源，但是如果您搜索它，它会显示很多字样！将此问题描述为一个数据包，该数据包已通过接口（NIC）进入系统，但未指定要通过该接口进入。

最后，我也会在这个主题上引用Wikipedia，其陈述也与上述内容大致相同。

一个火星分组是IP分组，其指定了一个源或目标地址保留用于特殊用途的由互联网编号分配机构（IANA）。如果在公共互联网上看到这些数据包，则它们实际上不能按照要求发出或传递。¹但是，某些保留地址可以使用多播或在专用网络，本地链接或环回接口上进行路由，具体取决于它们属于哪个特殊用途范围。²

火星数据包通常由拒绝服务攻击中的IP地址欺骗引起，3但也可能由网络设备故障或主机配置错误引起。1个

参考文献

• http://www.derkeiler.com/Mailing-Lists/securityfocus/focus-linux/2003-05/0002.html