Tom*_*asz 7 networking security router wireless-networking multicast
我有一台运行 linux 的计算机,它通过一些简单的规则集激活了 ufw。它通过 wifi 连接到华硕 4G-N12 路由器。几天前,当我查看 ufw 日志时,结果发现它阻止了一些连接。今天我检查日志,我再次在日志文件中有许多新的(与以前相同的)条目:
[UFW BLOCK] IN=my_laptop_wifi_interface OUT= MAC=01:00:5e:00:00:01:my_router_MAC_address:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 ID=6828 原型=2
我不是专家,但如果我理解正确,这意味着我的家庭 wifi 路由器做了一些奇怪的事情。在互联网上搜索并检查我的路由器后,我发现此条目的含义如下:
MAC=01:00:5e:00:00:01:my_router_MAC_address:08:00
意味着连接来自路由器,并且(如果我理解正确的话)尝试通过 IPv4 协议(08:00 指 EtherType IPv4)达到一些用于多播的标准 MAC(01:00:5e:00:00:01);
源代码=192.168.1.1
是我在本地网络中的路由器 IP;
夏令时=224.0.0.1
是所有主机组播组地址的标准 IP - 同一网段上的所有主机。
LEN=28 TOS=0x00 PREC=0x00
可能以某种方式指的是数据包内容;
TTL=1
是分组生存时间;
编号=6828
可能是ufw内部编号,每次都不同,您可以看到其中有很多;
原型=2
可能是指互联网组管理协议(IGMP),所以它又与多播有关;
这些连接已被阻止,因为我的防火墙安全规则之一规定应拒绝所有传入连接。我不是网络专家,所以这可能是正常情况,路由器有时会发送这样的消息来检查与路由组成员身份或其他相关的内容。但是,据我所知,我的路由器上没有使用这种通信方法运行的服务,所以如果我有这个权利,它就不应该产生这样的流量。除此之外,我很确定当我上次检查 dmesg 日志时,没有这样的条目,现在它们是。另一方面,从那时起,很多事情都发生了变化,例如我升级了我的路由器固件,也可能更改了一些设置(我的路由器和笔记本电脑)。
这是我的问题:
为什么路由器会做那些奇怪的事情?(这很奇怪吗?)
有什么可担心的吗?(我知道我的个人计算机上的连接被阻止,所以它是相当安全的,但是我的本地网络是否可能存在某种安全违规,例如路由器是否可能已被某些攻击者拥有?)
这很正常——许多家用路由器都启用了 IGMP(既用于改进本地多播,有时甚至用于从 ISP 接收多播 IPTV)。
这意味着网络中的一个设备,通常是路由器本身,成为 IGMP“查询器”,并且经常轮询所有其他设备以获取更改(例如,该设备是否还活着,并且它是否仍然订阅,因为 IGMPv1 显然没有有“取消订阅”功能)。
不要对 ICMP 和 IGMP 抱有不必要的偏执。
| 归档时间: |
|
| 查看次数: |
2026 次 |
| 最近记录: |