我最近打开了计算机上的Windows防火墙日志记录,并开始跟踪传入和传出连接。对日志文件感到好奇的是,我注意到许多UDP数据包(事实上,它基本上构成了我的所有传入流量)没有将主机作为目标或源显示在日志中。
我认为这可能是UDP的实现细节(数据包正在子网中的计算机上跳过)但维基百科的UDP不再启发我了,我不明白为什么我的计算机应该转发首先是这些数据包。
有什么想法吗?
编辑1:以下是神秘UDP数据包的日志文件行:
2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE
239.255.255.250是广播地址吗?现在你提到它,我看到的UDP数据包有非常具体的目的地,基本上是224.0.0.252,239.255.255.250,18.243.255.255。我还得到了针对224.0.0.1的幻像ICMP ping。
答案 0 :(得分:6)
发往239和224的IP的数据包是multicast packets。这是一种处理一组计算机的流量而不将其广播到整个网络的方法。它被各种合法协议使用。
224.0.0.252是Link Local Name Resolution protocol使用的地址。
239.255.255.250是Simple Service Discovery Protocol使用的地址。
224.0.0.1是all hosts address,您的路由器使用它来查看您网络上的哪些人愿意参与多播会话。
发往18.243.255.255的广播看起来像广播,许多合法的协议如Bonjour也会使用它。
根据Luka的建议,像Wireshark这样的好协议分析器会准确地告诉你每个数据包是什么以及它们包含什么。
答案 1 :(得分:1)
这取决于您所处的连接类型。 在大多数有线调制解调器ISP上,你基本上和你的neigburs在同一个局域网上,并且通常可以看到他们的一些流量(比如brodcast)。
我建议您安装数据包嗅探器并查看实际情况。 好的多平台数据包嗅探器是Wireshark
答案 2 :(得分:-1)
很难说没有分析日志数据,但它们可能是段上的广播数据包,在这种情况下,你的系统会监听它们。这在IPv4和IPv6中是可能的。
除非设置为路由,否则您的系统不应转发它们,但它当然可以一直监听数据包(各种网络协议使用UDP)。