Warum sendet der Router Pakete an die Multicast-Adresse?

1066
Tomasz

Ich habe einen Computer, auf dem Linux läuft, und es wurde ufw mit ein paar einfachen Regeln aktiviert. Es ist über WLAN mit dem Router ASUS 4G-N12 verbunden. Als ich vor einigen Tagen in ufw-Logs nachgesehen habe, stellte sich heraus, dass einige Verbindungen blockiert waren. Heute überprüfe ich Protokolle und wieder habe ich viele neue (identisch wie zuvor) Einträge in der Protokolldatei:

[UFW BLOCK] IN = mein_laptop_wifi_interface OUT = MAC = 01: 00: 5e: 00: 00: 01: my_router_MAC_address: 08: 00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 28 TOS = 0x00 PREC = 0x00 TTL = 1 ID = 6828 PROTO = 2

Ich bin kein Experte, aber wenn ich das richtig verstehe, bedeutet das, dass mein WLAN-Router einige seltsame Dinge getan hat. Nachdem ich im Internet gesucht und meinen Router überprüft hatte, stellte ich fest, dass dieser Eintrag wie folgt lautet:

MAC = 01: 00: 5e: 00: 00: 01: my_router_MAC_address: 08: 00

bedeutet, dass die Verbindung vom Router kommt und (wenn ich das richtig verstehe) versucht, einen Standard-MAC für Multicast (01: 00: 5e: 00: 00: 01) per IPv4-Protokoll (08:00 bezieht sich auf EtherType IPv4);

SRC = 192.168.1.1

ist meine Router IP im lokalen Netzwerk;

DST = 224.0.0.1

ist die Standard-IP-Adresse für Multicast-Gruppenadressen für alle Hosts - alle Hosts in demselben Netzwerksegment.

LEN = 28 TOS = 0x00 PREC = 0x00

bezieht sich wahrscheinlich irgendwie auf den Paketinhalt;

TTL = 1

ist Paketzeit zu leben;

ID = 6828

ist wahrscheinlich ufw interne Nummer, jedes Mal ist sie anders und wie Sie sehen, gibt es viele davon;

PROTO = 2

bezieht sich wahrscheinlich auf das Internet-Gruppenverwaltungsprotokoll (Internet Group Management Protocol, IGMP), es ist also wiederum mit Muticast verwandt;

Diese Verbindungen wurden blockiert, weil eine meiner Firewall-Sicherheitsregeln besagt, dass alle eingehenden Verbindungen abgelehnt werden sollten. Ich bin kein Netzwerkspezialist, daher ist es möglicherweise eine normale Situation, und der Router sendet manchmal eine solche Nachricht, um etwas zu überprüfen, das sich auf die Mitgliedschaft in Routinggruppen oder etwas anderes bezieht. Soweit ich weiß, habe ich jedoch keine Dienste, die eine solche Kommunikationsmethode verwenden, die auf meinem Router ausgeführt wird. Wenn ich also dieses Recht habe, sollte es keinen solchen Verkehr erzeugen. Darüber hinaus bin ich mir ziemlich sicher, dass es bei der letzten Überprüfung von Dmesg-Protokollen keinen Eintrag wie diesen gab, und jetzt sind sie es. Andererseits hat sich seit dieser Zeit vieles geändert, zum Beispiel habe ich meine Router Firmwear aufgerüstet und wahrscheinlich auch einige Einstellungen geändert (sowohl meinen Router als auch meinen Laptop).

Und hier sind meine Fragen:

  1. Warum macht der Router diese seltsamen Dinge? (und ist es überhaupt komisch?)

  2. Ist es etwas, worüber man sich Sorgen machen muss? (Ich weiß, dass die Verbindung auf meinem PC gesperrt ist und daher ziemlich sicher ist. Ist es jedoch möglicherweise eine Sicherheitsverletzung in meinem lokalen Netzwerk, zum Beispiel ist es möglich, dass der Router einem Angreifer gehört?)

4

1 Antwort auf die Frage

5
grawity

Dies ist ziemlich normal - viele Heimrouter sind mit IGMP-Unterstützung ausgestattet (sowohl zur Verbesserung des lokalen Multicasts als auch manchmal zum Empfang von Multicast-IPTV vom ISP).

Das bedeutet, dass ein Gerät im Netzwerk, in der Regel der Router selbst, zu einem IGMP-"Querier" wird und alle anderen Geräte gelegentlich nach Änderungen fragt (z. B. ist das Gerät noch am Leben und ist es noch abonniert, wie es IGMPv1 anscheinend nicht tat haben eine "abbestellen" -Funktion).

Seien Sie nicht unnötig paranoid über ICMP und IGMP.