kernel: ICMP: x.x.x.x: Source Route Failed エラーについて
/var/log/messages のログ監視していますが、数日前から下記のエラーが頻繁にログ監視で検知されるようになりました
May 29 05:04:44 www01 kernel: ICMP: 202.112.237.201: Source Route Failed.
ICMPに関する警告メッセージでネットワークが落ちているのではと思いましたが、調べてみると下記のような意味になります。
ICMP: x.x.x.x
→ x.x.x.xはIPアドレスです。x.x.x.xは伏せていますが、中国のIPアドレスです。
このIPアドレスからのICMPパケット(pingやtracerouteで使われるもの)が送られてきた。
Source Route Failed
送信元(x.x.x.x)が「ソースルーティング(source routing)」という特殊なオプション付きのパケットを送ってきたが、それが失敗したという意味です。
ソースルーティング(source routing)とは?
ソースルーティングは、「この経路を通って通信してくれ」というルート情報を送信元が指定する機能です。現在ではセキュリティリスクが高いため、ほとんどのルーターやOSでは無効化または禁止されています。
このログが示す状況について
外部IPから送られてきたICMPパケットに不正なソースルート情報が含まれていたので、カーネルがそれを検知して拒否し、「Source Route Failed」というログを出力。
x.x.x.xからのICMPパケットで「ソースルーティング(source routing)」の特殊なオプション付きのパケットを送ってきたが、それが失敗したとの事です。
このログのセキュリティ上の注意点について
このようなICMPソースルート付きのパケットは以下のような
- ポートスキャンやネットワーク探索の前段階として使われることがある
- 異常な通信と見なされることが多い
- 内部ネットワークに影響を与えることはほぼありません(大半のシステムでは無視される)