Linux günlüğünde, dmesg komutunu çalıştırdığınızda aşağıdaki gibi olaylarla karşılaşabilirsiniz:
icmp6_send: no reply to icmp error
icmp6_send: no reply to icmp error
icmp6_send: no reply to icmp error
icmp: xxx.xx.xxx.xx: Source Route Failed
icmp: xxx.xx.xxx.xx: Source Route Failed
icmp: xxx.xx.xxx.xx: Source Route Failed
1. icmp6_send: no reply to icmp error
İşletim sistemi, ICMPv6 hata mesajı (örneğin, "Hedef Ulaşılamaz", "Zaman Aşımı" vb.) göndermeye çalıştı ancak yanıt alamadı.
Çoğu durumda, bu hata mesajının güvenlik duvarı tarafından engellenmesiyle ilgilidir.
2. icmp: xxx.xx.xxx.xx: Source Route Failed
xxx.xx.xxx.xx düğümü (yönlendirici veya ana bilgisayar), kaynak yönlendirme (IP paket başlığında rota belirtme) kullanmayı denedi ancak başarısız oldu.
Kaynak yönlendirme bir güvenlik açığı olarak kabul edilir ve modern işletim sistemlerinde ve ağ cihazlarında genellikle devre dışı bırakılmıştır.
3. Nedenler
- Kaynak yönlendirme kullanılarak yapılan bir saldırı girişimi (örneğin, sahtecilik).
- Ağ taraması (örneğin, kaynak yönlendirme seçeneğiyle traceroute aracılığıyla).
4. Sonuç ve Eylemler
4.1 icmp6_send: no reply to icmp error için
IPv6 protokol ayarlarını ve işleyişini kontrol edin, örneğin ping6 kullanarak. Ayrıca, iptables güvenlik duvarında IPv6 trafiği için sınırlar belirtebilirsiniz:
iptables -A INPUT -p ipv6-icmp -m limit --limit 80/sec --limit-burst 80 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp6-adm-prohibited
Eğer sınırlar zaten ayarlanmışsa, bu mesaj sınırların aşılmaya çalışıldığının bir bildirimi olarak görünür.
4.2 icmp: xxx.xx.xxx.xx: Source Route Failed için
Kaynak yönlendirmenin devre dışı olduğundan emin olmak için şu komutu çalıştırın:
sysctl net.ipv4.conf.all.accept_source_route
Yanıt 0 olmalıdır (net.ipv4.conf.all.accept_source_route = 0).
xxx.xx.xxx.xx IP'sinden gelen şüpheli aktiviteler için günlükleri kontrol edin - büyük olasılıkla bu bir tarayıcı veya kötü niyetli bir aktördür.
Genel olarak herhangi bir işlem gerekmez ve bu mesaj yalnızca bir bildirimdir.
5. Ekstra Adımlar (İsteğe Bağlı)
5.1 IP'yi Engelleme
IP adresini engelleyebilirsiniz, ancak saldırganlar genellikle tüm alt ağlara sahip olduğundan bu etkili olmayabilir. Yukarıdaki önlemler genellikle yeterlidir, ancak isterseniz şu şekilde engelleyebilirsiniz:
iptables -A INPUT -s xxx.xx.xxx.xx -j DROP
5.2 Günlük Kaydını Etkinleştirme
iptables -A INPUT -m policy --pol ipsec --dir in -j ACCEPT
iptables -A INPUT -m rt --rt-type 0 -j LOG --log-prefix "SRC ROUTE ATTEMPT: "
iptables -A INPUT -m rt --rt-type 0 -j DROP
Denemeler /var/log/syslog dosyasında görünecektir.
5.3 Tüm Arayüzlerde Ayarları Kontrol Etme
sysctl -a | grep accept_source_route
IPv4 için çıktı şu şekilde olmalıdır:
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
IPv6 için de benzer şekilde:
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.eth0.accept_source_route = 0
IPv6 ve IPv4 için son iki komut eth0 kullanıyor - ağ arayüzünüzün adı farklı olabilir. Bunu ifconfig veya ip link show (ip l) komutlarıyla kontrol edebilirsiniz.
5.4 sysctl Ayarlarını Değiştirme
İşletim sistemi ayarlarını değiştirmek ve yeniden başlatıldığında kalıcı olmasını sağlamak için /etc/sysctl.conf dosyasını düzenlemeniz gerekir. Değişiklikleri uygulamak için şu komutu kullanın:
sysctl -p
Bu durumda, dosyadaki satırlar şu şekilde olacaktır:
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0