昨天我在路由器上打开了一个端口,转发到LAN IP 192.168.1.201并阻止了ADSL公司密码来访问路由器。
路由器上没有其他开放端口。此日志来自192.168.1.201机器。
我不知道这些连接是什么意思。(它似乎不会结束……)
任何想法?
Apr 9 09:52:08 noname-machine kernel: [31307.968106] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:52:24 noname-machine kernel: [31323.693457] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:18:9e:fc:26:eb:19:08:00 SRC=192.168.1.34 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=58339 PROTO=2
Apr 9 09:52:53 noname-machine kernel: [31352.982810] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:53:08 noname-machine kernel: [31367.987774] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:53:24 noname-machine kernel: [31383.769407] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:18:9e:fc:26:eb:19:08:00 SRC=192.168.1.34 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=52153 PROTO=2
Apr 9 09:53:53 noname-machine kernel: [31412.982860] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:54:08 noname-machine kernel: [31427.982756] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:54:24 noname-machine kernel: [31443.219560] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:70:f1:a1:05:07:5c:08:00 SRC=169.254.132.219 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=106 PROTO=2
Apr 9 09:54:53 noname-machine kernel: [31472.972692] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:55:08 noname-machine kernel: [31487.977674] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:55:24 noname-machine kernel: [31503.231641] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:70:f1:a1:05:07:5c:08:00 SRC=169.254.132.219 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=142 PROTO=2
Apr 9 09:55:53 noname-machine kernel: [31532.982790] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:56:08 noname-machine kernel: [31547.982624] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:56:24 noname-machine kernel: [31563.228754] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:70:f1:a1:05:07:5c:08:00 SRC=169.254.132.219 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=217 PROTO=2
Apr 9 09:56:53 noname-machine kernel: [31592.987662] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:57:08 noname-machine kernel: [31607.968135] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:57:24 noname-machine kernel: [31623.225584] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:70:f1:a1:05:07:5c:08:00 SRC=169.254.132.219 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=277 PROTO=2
Apr 9 09:57:53 noname-machine kernel: [31652.972559] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:58:08 noname-machine kernel: [31667.977532] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Apr 9 09:58:24 noname-machine kernel: [31683.222757] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:fb:70:f1:a1:05:07:5c:08:00 SRC=169.254.132.219 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=315 PROTO=2
Apr 9 09:58:53 noname-machine kernel: [31712.967765] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:38:72:c0:ce:53:73:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
答案1
似乎主机 192.168.1.1 和 192.168.1.34 上的服务正在尝试发送多播数据包(224.0.0.1 是所有启用多播的主机订阅的地址)。遗憾的是,您的日志不包含端口号,因此您无法确定它是哪种服务,但通常这些是“自动发现”服务。
答案2
SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
SRC=192.168.1.1
- 看起来像 NAT 路由器地址(另一个常见的地址是 192.168.1.254)
DST=224.0.0.1
- IP 多播‘所有主机’地址
PROTO=2
- IGMP - 互联网组管理协议
因此,这很可能是本地路由器向子网上的所有设备发送的 IGMP 查询数据包,以便它可以更新/刷新 IP 多播组成员身份。您需要转储数据包内容以确保无误。
SRC=169.254.132.219 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=142 PROTO=2
DST=224.0.0.251
PROTO=2
- IGMP - 互联网组管理协议
网络上有一个设备尝试使用多播 DNS(通常与地址 224.0.0.251 相关联)。但是,由于协议又是 IGMP,因此这又是查询/发现数据包,但专用于 mDNS。
答案3
不要自动抛弃它。
此多播会影响显示 SMB 共享。共享存在,只是可能不会显示在其他机器上。如果阻止这些多播的机器在非 DC(或 AD)控制的网络(如家庭网络)中充当旧式主浏览器,它可以删除涉及的一台或所有计算机的 SMB 列表。
重申:共享始终存在,但阻止这些多播可以防止它们在 Windows 或 Linux 中单击网络浏览器时自动显示。