Base de connaissances → Connectez-vous à dmesg icmp: ip Source Route Failed

Date de publication: 22.05.2025

Dans le journal Linux, en exécutant la commande dmesg, vous pouvez rencontrer des événements de ce type :

icmp6_send: no reply to icmp error
icmp6_send: no reply to icmp error
icmp6_send: no reply to icmp error
icmp: xxx.xx.xxx.xx: Source Route Failed
icmp: xxx.xx.xxx.xx: Source Route Failed
icmp: xxx.xx.xxx.xx: Source Route Failed

1. icmp6_send: no reply to icmp error

Le système d'exploitation a tenté d'envoyer un message d'erreur ICMPv6 (par exemple, "Destination Unreachable", "Time Exceeded", etc.), mais n'a reçu aucune réponse.

Dans la plupart des cas, cela est dû au fait que le message d'erreur a été bloqué par un pare-feu.

2. icmp: xxx.xx.xxx.xx: Source Route Failed

Le nœud xxx.xx.xxx.xx (routeur ou hôte) a tenté d'utiliser le routage de source (spécification de la route dans l'en-tête du paquet IP), mais cela a échoué.

Le routage de source est considéré comme une vulnérabilité et est généralement désactivé dans les systèmes d'exploitation et les appareils réseau modernes.

3. Causes

Tentative d'attaque utilisant le routage de source (par exemple, usurpation d'identité).
Analyse de réseau (par exemple, via traceroute avec l'option de routage de source).

4. Conclusion et actions

4.1 Pour icmp6_send: no reply to icmp error

Vérifiez les paramètres et le fonctionnement du protocole IPv6, par exemple en utilisant ping6. Vous pouvez également définir des limites pour le trafic IPv6 dans le pare-feu iptables :

iptables -A INPUT -p ipv6-icmp -m limit --limit 80/sec --limit-burst 80 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp6-adm-prohibited

Si des limites sont déjà établies, le message indique une tentative de les dépasser, servant de notification.

4.2 Pour icmp: xxx.xx.xxx.xx: Source Route Failed

Vérifiez que le routage de source est désactivé en exécutant la commande :

sysctl net.ipv4.conf.all.accept_source_route

La réponse doit être 0 (net.ipv4.conf.all.accept_source_route = 0).

Vérifiez les journaux pour détecter une activité suspecte provenant de l'IP xxx.xx.xxx.xx - il s'agit probablement d'un scanner ou d'un acteur malveillant.

En général, aucune action n'est requise, et le message est simplement une notification.

5. Actions supplémentaires (facultatif)

5.1 Bloquer l'IP

Vous pouvez bloquer l'adresse IP, mais les attaquants disposent généralement de sous-réseaux entiers, ce qui rend cela inefficace. Les mesures ci-dessus sont généralement suffisantes, mais si vous le souhaitez, vous pouvez bloquer comme suit :

iptables -A INPUT -s xxx.xx.xxx.xx -j DROP

5.2 Activer la journalisation

iptables -A INPUT -m policy --pol ipsec --dir in -j ACCEPT
iptables -A INPUT -m rt --rt-type 0 -j LOG --log-prefix "SRC ROUTE ATTEMPT: "
iptables -A INPUT -m rt --rt-type 0 -j DROP

Les tentatives seront enregistrées dans le fichier /var/log/syslog.

5.3 Vérification des paramètres sur toutes les interfaces

sysctl -a | grep accept_source_route

La sortie doit ressembler à ceci pour IPv4 :

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0

Et similaire pour IPv6 :

net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.eth0.accept_source_route = 0

Notez que les deux dernières commandes pour IPv6 et IPv4 utilisent eth0 - le nom de votre interface réseau peut être différent. Vous pouvez le vérifier avec les commandes ifconfig ou ip link show (ip l).

5.4 Modification des paramètres sysctl

Pour apporter des modifications aux paramètres du système d'exploitation et les conserver après un redémarrage, modifiez le fichier /etc/sysctl.conf. Pour appliquer les modifications, utilisez la commande :

sysctl -p

Dans ce cas, les lignes du fichier ressembleront à ceci :

net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

Aucun commentaire pour l'instant