我正在运行带有 Raspbian 的 Raspberry Pi,它通过 VPN 服务连接到 WAN。
我正在监控我的以太网网络流量eth0,以iftop确保流量通过vpn而不是eth0。
在我的eth0流量中,我看到流量连接到 IP 地址224.0.0.251和239.255.255.250。地址查找显示它们属于互联网号码分配机构。
奇怪的是,当列出时iptables -L,我看到我的ufw防火墙对这些 IP 地址有“接受”规则。
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere state INVALID
DROP all -- anywhere anywhere state INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
ufw自安装以来或之前,我从来没有自己添加过这些规则- 所以我想知道这些规则是什么,以及它们是否应该安全地保留在原来的位置。
答案1
我看到连接到 IP 地址的流量224.0.0.251,并且239.255.255.250
224.0.0.251并且239.255.255.250多播地址:
多播地址是计算机网络中一组主机的逻辑标识符,可用于处理为指定网络服务多播的数据报或帧。
多播寻址可用于链路层(OSI 模型中的第 2 层),例如以太网多播,以及互联网层(OSI 中的第 3 层),用于互联网协议版本 4 (IPv4) 或版本 6 (IPv6) 多播。
下面提供了更多信息,但这种活动是正常的。
什么是224.0.0.251?
224.0.0.251是多播 DNS (mDNS)地址。
多播域名系统 (mDNS) 将主机名解析为不包含本地名称服务器的小型网络内的 IP 地址。
它是一种零配置服务,使用与单播域名系统 (DNS) 基本相同的编程接口、数据包格式和操作语义。
我以前见过这种类型的请求——它们看起来很像你好/mDNS请求。它们使用多播 IP 地址 224.0.0.251 和端口 5353。
最有可能的来源是苹果 iTunes,如您所知,它是预装在 Mac 电脑上的,并且是 Windows 机器上的流行安装。
更新:如果这是一台 Linux 机器(不是 Mac 或 Windows 机器),那可能是Avahi 守护进程然后。它的兼容 ZeroConf/Bonjour。它是默认安装的,但如果您不使用 DNS-SD 或 mDNS,则可以将其禁用。
什么是239.255.255.250?
239.255.255.250是简单服务发现协议地址。
简单服务发现协议 (SSDP) 是一种基于互联网协议套件的网络协议,用于广告和发现网络服务和存在信息。
它无需借助基于服务器的配置机制(例如动态主机配置协议 (DHCP) 或域名系统 (DNS))即可实现此目的,也无需对网络主机进行特殊的静态配置。
SSDP 是通用即插即用 (UPnP) 发现协议的基础,适用于住宅或小型办公环境。
来源服务定位协议