Я запускаю две виртуальные машины на базе Xen / CentOS 6.5, обе размещены в одной компании, но подключены к разным сетям (базовые / 24сек с одним шлюзом в .1) в разных физических местах. Я разработал брандмауэр iptables на первом хосте, часть которого регистрировала и отбрасывала трафик из различных зарезервированных сетей: 192.168.0.0/16, 127.0.0.0/8 и т. Д. В этот список включен 224.0.0.0/4. На первой виртуальной машине я редко видел трафик в / из какой-либо из зарезервированных сетей и мог с уверенностью предположить, что он был подделан, и без проблем сбросить его.
Однако, как только я установил тот же набор правил iptables на второй виртуальной машине, он начал регистрировать пакеты от 0.0.0.0 до 224.0.0.1 каждые пару минут.
Jan 6 21:44:43 server kernel: ipt (reserved): IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:25:90:2f:69:a8:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
tcpdump уточнил, что пакеты на самом деле являются многоадресными пакетами IGMPv2.
19:44:43.779680 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
0.0.0.0 > all-systems.mcast.net: igmp query v2
Знание хостов об IGMP выглядит следующим образом:
[root@server ~]# cat /proc/net/igmp
Idx Device : Count Querier Group Users Timer Reporter
1 lo : 1 V3
010000E0 1 0:00000000 0
2 eth0 : 1 V3
010000E0 1 0:00000000 0
Кстати, MAC-адреса src / dst в строке журнала iptables не связаны ни с интерфейсами хостов, ни с интерфейсами шлюзов (по крайней мере, согласно arp), если это имеет какое-либо значение.
Вопросы:
Спасибо за вашу помощь.
информация об адресе 224.0.0.1
The All Hosts multicast group addresses all hosts on the same network segment.
Я думаю, что это многоадресный адрес по умолчанию, вы можете отбросить трафик с этого адреса, для получения дополнительной информации о многоадресном адресе по умолчанию http://en.wikipedia.org/wiki/Multicast_address