Image

Base de conocimientos → Iniciar sesión en dmesg icmp: icmp: ip Source Route Failed

[Servidores virtuales]
Fecha de publicación: 22.05.2025

En el registro de Linux, al ejecutar el comando dmesg, puedes encontrar eventos como estos:

icmp6_send: no reply to icmp error
icmp6_send: no reply to icmp error
icmp6_send: no reply to icmp error
icmp: xxx.xx.xxx.xx: Source Route Failed
icmp: xxx.xx.xxx.xx: Source Route Failed
icmp: xxx.xx.xxx.xx: Source Route Failed

1. icmp6_send: no reply to icmp error

El sistema operativo intentó enviar un mensaje de error ICMPv6 (por ejemplo, "Destino Inalcanzable", "Tiempo Excedido", etc.), pero no recibió respuesta.

En la mayoría de los casos, esto se debe a que el mensaje de error fue bloqueado por un cortafuegos.

2. icmp: xxx.xx.xxx.xx: Source Route Failed

El nodo xxx.xx.xxx.xx (un enrutador o host) intentó usar enrutamiento de origen (especificando la ruta en la cabecera del paquete IP), pero falló.

El enrutamiento de origen se considera una vulnerabilidad y suele estar desactivado en sistemas operativos y dispositivos de red modernos.

3. Causas

  • Intento de ataque utilizando enrutamiento de origen (por ejemplo, suplantación de identidad).
  • Escaneo de red (por ejemplo, a través de traceroute con la opción de enrutamiento de origen).

4. Conclusión y Acciones

4.1 Para icmp6_send: no reply to icmp error

Verifica la configuración y el funcionamiento del protocolo IPv6, por ejemplo, utilizando ping6. También puedes establecer límites de tráfico IPv6 en el cortafuegos iptables:

iptables -A INPUT -p ipv6-icmp -m limit --limit 80/sec --limit-burst 80 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp6-adm-prohibited

Si los límites ya están establecidos, el mensaje indica un intento de excederlos, sirviendo como notificación.

4.2 Para icmp: xxx.xx.xxx.xx: Source Route Failed

Asegúrate de que el enrutamiento de origen esté desactivado ejecutando:

sysctl net.ipv4.conf.all.accept_source_route

La respuesta debe ser 0 (net.ipv4.conf.all.accept_source_route = 0).

Revisa los registros en busca de actividad sospechosa desde la IP xxx.xx.xxx.xx; probablemente sea un escáner o un actor malicioso.

En general, no se requiere ninguna acción, y el mensaje es solo una notificación.

5. Pasos Adicionales (Opcional)

5.1 Bloquear la IP

Puedes bloquear la dirección IP, pero los atacantes suelen tener subredes completas, por lo que esto puede no ser efectivo. Las medidas anteriores suelen ser suficientes, pero si lo deseas, puedes bloquearla así:

iptables -A INPUT -s xxx.xx.xxx.xx -j DROP

5.2 Habilitar el Registro

iptables -A INPUT -m policy --pol ipsec --dir in -j ACCEPT
iptables -A INPUT -m rt --rt-type 0 -j LOG --log-prefix "SRC ROUTE ATTEMPT: "
iptables -A INPUT -m rt --rt-type 0 -j DROP

Los registros de intentos aparecerán en el archivo /var/log/syslog.

5.3 Verificar Configuraciones en Todas las Interfaces

sysctl -a | grep accept_source_route

La salida debería ser algo como esto para IPv4:

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0

Y similar para IPv6:

net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.eth0.accept_source_route = 0

Ten en cuenta que los últimos dos comandos para IPv6 e IPv4 usan eth0; el nombre de tu interfaz de red puede ser diferente. Puedes verificarlo con los comandos ifconfig o ip link show (ip l).

5.4 Modificar Configuraciones de sysctl

Para realizar cambios en las configuraciones del sistema operativo y que persistan después de un reinicio, edita el archivo /etc/sysctl.conf. Para aplicar los cambios, usa:

sysctl -p

En este caso, las líneas en el archivo serán así:

net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0




Sin comentarios aún