我们有一个来自 ISP 的 /28 块。假设 1.1.1.240/28 网关为 1.1.1.241。我们正在 1.1.1.214 从另一个客户那里收到火星数据包。他们正在向 1.1.1.255 发送广播。我们应该得到那些数据包吗?我不了解这种情况下的广播。
系统日志消息
martian source 1.1.1.255 from 1.1.1.214, on dev eth0 l 标题:ff:ff:ff:ff:ff:ff:00:XX:f3:XX:69:ad:08:00
网络接口:
$ ifconfig eth0
eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX
inet 地址:1.1.1.243 广播:1.1.1.255 掩码:255.255.255.240
上行广播运行多播 MTU:1500 公制:1
RX 数据包:15161982 错误:0 丢弃:0 溢出:0 帧:0
TX 数据包:1627243 错误:0 丢弃:0 溢出:0 载波:0
碰撞:0 txqueuelen:100
RX 字节:1028191733 (1.0 GB) TX 字节:140279903 (140.2 MB)
内存:fbde0000-fbe00000
或者接口配置错误?Bcast 在那里列为 1.1.1.255。如果这是正常行为,我认为内核不应该每分钟向 syslog 喷射数百个这样的信息。
更新
这些数据包以每秒 2-3 个的速度不断传入。我捕获了它们,它们 UDP src/dst 端口 15001: 10:00:91:13:00:00:39:22:23:02:00:00:00:00:00:01:3c:62:65 :61:63:6f:6e:2f:3e
这太可怕了 - 听起来你的 ISP 没有隔离客户的广播域,而另一个客户只是将他们的网络掩码错误配置为 /24。
如果是这种情况,那么这是一个非常严重的安全风险,因为它们可以有效地使您的设备脱机或意外或恶意地将流量绑定到您的系统。
您可以通过 ARPing 测试其他客户的系统(如果不重新配置路由器的接口,这可能会有点棘手),或者只是在线路上观察 ARP,看看您是否收到了他们子网的 ARP 请求。
如果确实加入了广播域,您需要与您的 ISP 心连心。
| 归档时间: |
|
| 查看次数: |
569 次 |
| 最近记录: |