Блог

Недавно я включил вход в брандмауэр Windows на своем компьютере и начал отслеживать входящие и исходящие подключения. Что-то любопытное в файлах журналов заключается в том, что я заметил множество пакетов UDP (на самом деле, они составляют в основном весь мой входящий трафик), в журналах которых не отображается мой хост в качестве получателя или источника.

Я думал, что это может быть детализацией реализации UDP (пакеты перескакивают через мой компьютер в подсети), но UDP в Википедии меня больше не просветил, и я не понимаю, почему мой компьютер должен пересылать эти пакеты в первую очередь.

Есть какие-нибудь идеи?

Правка 1: Вот как выглядит строка файла журнала с таинственным пакетом UDP:

 2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE
 

Является ли 239.255.255.250 широковещательным адресом? Теперь, когда вы упомянули об этом, пакеты UDP, которые я вижу, имеют очень конкретные пункты назначения, в основном 224.0.0.252, 239.255.255.250, 18.243.255.255. Я также получаю фантомные сообщения ICMP, адресованные 224.0.0.1.

Пакеты, адресованные IP-адресам, начинающимся с 239 и 224, являются многоадресными пакетами. Это способ адресовать трафик группе компьютеров, не передавая его по всей сети. Он используется различными законными протоколами.

224.0.0.252-это адрес, используемый протоколом разрешения локальных имен ссылок.

239.255.255.250-это адрес, используемый протоколом обнаружения простых служб.

224.0.0.1-это адрес всех хостов, используемый вашим маршрутизатором, чтобы узнать, кто в вашей сети готов участвовать в многоадресных разговорах.

Те, которые адресованы 18.243.255.255, выглядят как трансляции, опять же, это используется многими законными протоколами, такими как Bonjour.

Как рекомендовал Лука, хороший анализатор протоколов, такой как Wireshark, точно расскажет вам, что представляет собой каждый из этих пакетов и что они содержат.

Это зависит от типа подключения, на котором вы находитесь. На большинстве провайдеров кабельных модемов вы в основном находитесь в той же локальной сети, что и ваши соседи, и обычно можете видеть часть их трафика (например, brodcast).

Я рекомендую вам установить анализатор пакетов и посмотреть, что происходит на самом деле. Хорошим мультиплатформенным анализатором пакетов является Wireshark

Трудно сказать, не анализируя данные журнала, но они могут быть широковещательными пакетами в сегменте, и в этом случае ваша система будет их прослушивать. Это возможно в IPv4 и IPv6.

Ваша система не должна пересылать их, если она не настроена на маршрутизацию, но она, безусловно, может постоянно прослушивать пакеты (различные сетевые протоколы используют UDP).