UDP и мой компьютер?

Question

Я недавно включил брандмауэр Windows на моем компьютере и начал отслеживать входящие и исходящие соединения. Что-то любопытное в лог-файлах заключается в том, что я заметил множество UDP-пакетов (фактически они составляют в основном весь мой входящий трафик), в которых мой хост в качестве пункта назначения или источника не отображается в журналах.

Я подумал, что это может быть деталью реализации для UDP (пакеты перепрыгивают через мой компьютер в подсети), но UDP из Википедии меня не просветил, и я не понимаю, почему мой компьютер должен пересылать эти пакеты на первом месте.

Есть идеи?

Редактировать 1: Вот как выглядит строка файла журнала с загадочным UDP-пакетом:

2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE

Является ли 239.255.255.250 широковещательным адресом? Теперь, когда вы упомянули об этом, у пакетов UDP, которые я вижу, есть очень конкретные места назначения, в основном 224.0.0.252, 239.255.255.250, 18.243.255.255. Я также получаю фантомные ICMP-запросы на адрес 224.0.0.1.

Answer 1

Пакеты, адресованные IP-адресам, начинающимся с 239 и 224, представляют собой многоадресные пакеты . Это способ адресовать трафик группе компьютеров, не передавая его по всей сети. Он используется различными законными протоколами.

224.0.0.252 - это адрес, используемый протоколом разрешения локальных имен .

239.255.255.250 - это адрес, используемый Простым протоколом обнаружения услуг .

224.0.0.1 - это адрес всех хостов , используемый вашим маршрутизатором для определения того, кто в вашей сети готов участвовать в многоадресных разговорах.

Те, которые адресованы 18.243.255.255, выглядят как широковещательные, опять же, это используется многими законными протоколами, такими как Bonjour.

Как рекомендует Лука, хороший анализатор протокола, такой как Wireshark , точно скажет вам, что представляет собой каждый из этих пакетов и что они содержат.

Answer 2

Зависит от типа используемого вами соединения. На большинстве провайдеров кабельного модема вы в основном находитесь в той же локальной сети, что и ваши neigburs, и обычно можете видеть часть их трафика (например, широковещательную рассылку).

Я рекомендую установить пакетный сниффер и посмотреть, что происходит на самом деле. Хороший мультиплатформенный анализатор пакетов - Wireshark

Answer 3

Трудно сказать, не анализируя данные журнала, но они могут быть широковещательными пакетами в сегменте, и в этом случае ваша система будет их слушать. Это возможно в IPv4 и IPv6.

Ваша система не должна пересылать их, если она не настроена на маршрутизацию, но она, безусловно, может постоянно прослушивать пакеты (различные сетевые протоколы используют UDP).