我最近在我的计算机上打开了 Windows 防火墙日志记录并开始跟踪传入和传出连接。对日志文件感到好奇的是,我注意到许多 UDP 数据包(实际上,它基本上构成了我所有的传入流量),这些数据包没有将我的主机作为目标或源出现在日志中。
我认为这可能是 UDP 的实现细节(数据包在子网中的我的计算机上跳跃)但维基百科的 UDP 并没有再启发我,我不明白为什么我的计算机应该转发这些数据包第一名。
有任何想法吗?
编辑 1:这是带有神秘 UDP 数据包的日志文件行的样子:
2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE
239.255.255.250 是广播地址吗?既然你提到了,我看到的 UDP 数据包有非常具体的目的地,基本上是 224.0.0.252、239.255.255.250、18.243.255.255。我还收到了发往 224.0.0.1 的虚拟 ICMP ping。
发往以 239 和 224 开头的 IP 的数据包是多播数据包。这是一种在不将其广播到整个网络的情况下将流量寻址到一组计算机的方法。它被各种合法协议使用。
224.0.0.252 是链路本地名称解析协议使用的地址。
239.255.255.250 是简单服务发现协议使用的地址。
224.0.0.1 是所有主机地址,路由器使用它来查看网络上谁愿意参与多播对话。
寻址到 18.243.255.255 的那些看起来像广播,这又被许多合法协议(如 Bonjour)使用。
正如 Luka 所推荐的,像Wireshark这样好的协议分析器会准确地告诉你这些数据包是什么以及它们包含什么。
这取决于您使用的连接类型。在大多数有线调制解调器 ISP 上,您基本上与您的邻居在同一个 LAN 上,并且通常可以看到他们的一些流量(如 brodcast)。
我建议您安装数据包嗅探器并查看实际情况。好的多平台数据包嗅探器是Wireshark
如果不分析日志数据很难说,但它们可能是网段上的广播数据包,在这种情况下,您的系统会监听它们。这在 IPv4 和 IPv6 中是可能的。
您的系统不应该转发它们,除非它设置为路由,但它当然可以一直在监听数据包(各种网络协议使用 UDP)。