我最近打開了我的電腦上的Windows防火牆日誌記錄,並開始跟蹤傳入和傳出的連接。對日誌文件好奇的是,我注意到許多UDP數據包(事實上,它基本上構成了我的所有傳入流量),它們沒有將我的主機作爲目標或源顯示在日誌中。UDP和我的電腦?
我以爲這可能是一個UDP的實現細節(數據包在我的計算機上跳轉到子網中),但維基百科的UDP沒有啓發我了,我不明白爲什麼我的電腦應該是首先轉發這些數據包。
任何想法?
編輯1:以下是與神祕的UDP數據包日誌文件看起來是這樣:
2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE
是239.255.255.250廣播地址?現在你提到它,我看到的UDP數據包有非常特定的目的地,基本上是224.0.0.252,239.255.255.250,18.243.255.255。我也會得到224.0.0.1的幻像ICMP ping。
發往以239和224開頭的IP的數據包是multicast packets。這是一種處理一組計算機的流量而不將其廣播到整個網絡的方法。它被各種合法協議使用。
224.0.0.252是由Link Local Name Resolution protocol使用的地址。
239.255.255.250是由Simple Service Discovery Protocol使用的地址。
224.0.0.1是all hosts address,使用路由器,看看誰是你的網絡上是願意參與組播會話。
的那些給18.243.255.255樣子廣播,這同樣被許多合法的協議,如卓悅。
所推薦的盧卡,一個很好的協議分析儀一樣Wireshark會告訴你,正是這些數據包以及它們包含的內容。
很難說沒有分析日誌數據,但它們可能是在網段上廣播的數據包,在這種情況下,你的系統會聽他們。這在IPv4和IPv6中是可能的。
您的系統不應該被轉發出去,除非它的設置路由,但可以肯定是聽包所有的時間(各種網絡協議使用UDP)。
這取決於您所處的連接類型。 在大多數有線調制解調器ISP上,你基本上和你的neigburs在同一個局域網上,並且通常可以看到他們的一些流量(如brodcast)。
我建議你安裝包嗅探器,看看真的在做什麼。 好的多平臺數據包嗅探器是Wireshark