我有一台运行 Linux 的计算机,它已激活 ufw,并设置了一些简单的规则。它通过 wifi 连接到 ASUS 4G-N12 路由器。几天前,当我查看 ufw 日志时,发现它阻止了一些连接。今天我检查日志,发现日志文件中又有许多新的(与以前相同)条目:
[UFW 块] IN=my_laptop_wifi_interface OUT= MAC=01:00:5e:00:00:01:my_router_MAC_address:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=6828 PROTO=2
我不是专家,但如果我理解正确的话,这意味着我的家用 wifi 路由器做了一些奇怪的事情。在网上搜索并检查我的路由器后,我发现这个条目的含义如下:
MAC=01:00:5e:00:00:01:my_router_MAC_address:08:00
意味着连接来自路由器,并且(如果我理解正确的话)尝试通过 IPv4 协议(08:00 指的是 EtherType IPv4)到达某些标准 MAC 地址进行多播(01:00:5e:00:00:01);
源地址=192.168.1.1
我的路由器 IP 是否在本地网络中;
夏令时=224.0.0.1
是所有主机多播组地址的标准 IP - 同一网段上的所有主机。
LEN=28 TOS=0x00 PREC=0x00
可能以某种方式指的是数据包内容;
TTL=1
是数据包的生存时间;
ID=6828
可能是 ufw 内部号码,每次都不同,而且你可以看到有很多;
原始=2
可能指的是互联网组管理协议(IGMP),所以它又与多播相关;
这些连接已被阻止,因为我的防火墙安全规则之一规定应拒绝所有传入连接。我不是网络专家,所以也许这是一种正常情况,路由器有时会发送这样的消息来检查与路由组成员身份或其他内容相关的内容。但是据我所知,我的路由器上没有使用这种通信方法的服务,所以如果我没有错的话,它不应该产生这样的流量。除此之外,我很确定上次我检查 dmesg 日志时没有这样的条目,而现在有了。另一方面,从那时起很多事情都发生了变化,例如我升级了路由器固件,也可能更改了一些设置(我的路由器和笔记本电脑)。
以下是我的问题:
为什么路由器会出现这些奇怪的情况?(这真的很奇怪吗?)
这是值得担心的事情吗?(我知道我的个人电脑上的连接已被阻止,因此相当安全,但这是否可能是我本地网络中的某种安全漏洞,例如,路由器是否可能被某个攻击者拥有?)
答案1
这是很正常的——许多家用路由器都启用了 IGMP(用于改善本地多播,有时甚至用于从 ISP 接收多播 IPTV)。
这意味着网络中的一个设备(通常是路由器本身)成为 IGMP“查询器”,并时不时地轮询所有其他设备以查看变化(例如,设备是否仍然存在,是否仍然订阅,因为 IGMPv1 显然没有“取消订阅”功能)。
不要对 ICMP 和 IGMP 过分担心。