Por que o roteador envia pacotes para o endereço multicast?

Navegue suas respostas
4

Eu tenho um computador rodando linux e ele tem o ufw ativado com algumas regras simples. Ele está conectado ao roteador ASUS 4G-N12 por wifi. Quando eu olhei nos logs do ufw alguns dias atrás, descobriu-se que ele havia bloqueado algumas conexões. Hoje eu verifico os logs e, novamente, tenho muitas entradas novas (identicamente como anteriormente) no arquivo de log:

[UFW BLOCK] IN=my_laptop_wifi_interface OUT= MAC=01:00:5e:00:00:01:my_router_MAC_address:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=6828 PROTO=2

Eu não sou um especialista, mas se eu entendi corretamente, isso significa que o meu roteador wifi em casa tem feito algumas coisas estranhas. Depois de pesquisar na internet e verificar meu roteador descobri que esta entrada significa como segue:

MAC=01:00:5e:00:00:01:my_router_MAC_address:08:00

significa que a conexão vem do roteador e (se eu entendi corretamente) tenta alcançar algum MAC padrão para multicast (01: 00: 5e: 00: 00: 01) pelo protocolo IPv4 (08:00 refere-se ao EtherType IPv4);

SRC=192.168.1.1

é o IP dos meus roteadores na rede local;

DST=224.0.0.1

é o IP padrão para todos os endereços de grupo de multidifusão de Hosts - todos os hosts no mesmo segmento de rede.

LEN=28 TOS=0x00 PREC=0x00

provavelmente se refere de alguma forma ao conteúdo do pacote;

TTL=1

é o tempo do pacote para viver;

ID=6828

é provavelmente o número interno do ufw, toda vez que é diferente e, como você pode ver, há muitos deles;

PROTO=2

provavelmente se refere ao protocolo de gerenciamento de grupo da Internet (IGMP), então, novamente, está relacionado ao muticast;

Essas conexões foram bloqueadas porque uma das regras de segurança do meu firewall diz que todas as conexões de entrada devem ser negadas. Eu não sou um especialista em rede, então talvez seja uma situação normal e roteador, por vezes, envia uma mensagem para verificar algo relacionado à associação de grupos de roteamento ou outra coisa. No entanto, tanto quanto sei, não tenho serviços usando esse método de comunicação em execução no meu roteador, portanto, se eu tiver esse direito, ele não deverá gerar esse tráfego. Além disso, tenho certeza de que, quando chequei os logs do dmesg da última vez, não havia uma entrada como essa, e agora eles estão. Por outro lado, a partir desse momento, muitas coisas mudaram, por exemplo, atualizei o firmware do roteador e provavelmente também alterei algumas configurações (meu roteador e laptop).

E aqui estão minhas perguntas:

  1. Por que o roteador faz essas coisas estranhas? (e é estranho?)

  2. É algo para se preocupar? (Eu sei que a conexão no meu computador pessoal está bloqueada, por isso é bastante segura, mas é possível que seja algum tipo de violação de segurança na minha rede local, por exemplo, é possível que o roteador tenha sido de propriedade de algum invasor?)

por Tomasz 26.07.2017 / 12:18

1 resposta

5

Isso é bastante normal - muitos roteadores domésticos vêm com o IGMP ativado (tanto para melhorar o multicast local quanto para receber IPTV de multicast do ISP).

Isso significa que um dispositivo na rede, geralmente o próprio roteador, se torna um "querier" IGMP e, de vez em quando, pesquisa todos os outros dispositivos em busca de alterações (por exemplo, o dispositivo ainda está ativo e ainda está inscrito). não tinha uma função "unsubscribe").

Não fique desnecessariamente paranóico com ICMP & IGMP.

    
por 26.07.2017 / 14:16

Tags

Não é possível desativar a tela de bloqueio do Windows 10 na Atualização de criadores Passos a serem tomados quando forem atacados pelo ataque WiFi “Evil Twin”?