4

У меня есть компьютер под управлением Linux, и он активирован с помощью нескольких простых правил. Подключен к роутеру ASUS 4G-N12 по wifi. Когда я посмотрел в журналах UFW несколько дней назад, оказалось, что он заблокировал некоторые соединения. Сегодня я проверяю журналы и снова у меня есть много новых (идентичных ранее) записей в файле журнала:

[UFW BLOCK] IN = my_laptop_wifi_interface OUT = MAC = 01:00:5e:00:00:01:my_router_MAC_address:08:00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 28 TOS = 0x00 PREC = 0x00 TTL = 1 ID = 6828 PROTO = 2

Я не эксперт, но если я правильно понимаю, это означает, что мой домашний Wi-Fi маршрутизатор сделал некоторые странные вещи. После поиска в Интернете и проверки моего роутера я обнаружил, что эта запись означает следующее:

MAC = 01:00:5e:00:00:01:my_router_MAC_address:08:00

означает, что соединение идет от маршрутизатора и (если я правильно понимаю) пытается достичь некоторого стандартного MAC-адреса для многоадресной передачи (01:00:5e:00:00:01) по протоколу IPv4 (08:00 относится к EtherType IPv4);

SRC = 192.168.1.1

IP моего роутера в локальной сети;

DST = 224.0.0.1

является стандартным IP для адресов групп многоадресной рассылки All Hosts - все хосты в одном сегменте сети.

LEN = 28 TOS = 0x00 PREC = 0x00

вероятно относится как-то к содержимому пакета;

TTL = 1

время пакета для жизни;

ID = 6828

это, вероятно, внутренний номер UFW, каждый раз, когда он отличается, и, как вы можете видеть, их много;

ПРОТО = 2

вероятно, относится к протоколу управления группами интернета (IGMP), так что опять-таки он связан с групповой передачей;

Эти соединения были заблокированы, потому что одно из моих правил безопасности брандмауэров говорит, что все входящие соединения должны быть запрещены. Я не специалист по сети, поэтому, возможно, это нормальная ситуация, и маршрутизатор иногда отправляет такое сообщение, чтобы проверить что-то, связанное с членством в группах маршрутизации, или что-то еще. Однако, насколько я знаю, у меня нет сервисов, использующих такой метод связи на моем маршрутизаторе, поэтому, если у меня есть такое право, он не должен генерировать такой трафик. В дополнение к этому я совершенно уверен, что когда я проверял журналы dmesg в прошлый раз, не было такой записи, и теперь они есть. С другой стороны, с того времени многое изменилось, например, я обновил фирменную одежду маршрутизаторов, а также, возможно, изменил некоторые настройки (как маршрутизатора, так и ноутбука).

И вот мои вопросы:

  1. Почему маршрутизатор делает эти странные вещи? (и это вообще странно?)

  2. Есть о чем беспокоиться? (Я знаю, что соединение на моем персональном компьютере заблокировано, так что это довольно безопасно, но возможно ли, что это какое-то нарушение безопасности в моей локальной сети, например, возможно ли, что маршрутизатор принадлежал какому-то злоумышленнику?)

1 ответ1

5

Это довольно нормально - многие домашние маршрутизаторы поставляются с включенным IGMP (как для улучшения локальной многоадресной рассылки, а иногда даже для приема многоадресной IPTV от провайдера).

Это означает, что одно устройство в сети, обычно сам маршрутизатор, становится "запросчиком" IGMP и время от времени опрашивает все другие устройства на предмет изменений (например, устройство все еще живо, и оно все еще подписано, как IGMPv1, по-видимому, этого не делал). иметь функцию "отписаться").

Не будьте излишне параноиком по поводу ICMP и IGMP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .