Назад | Перейти на главную страницу

Неправильно настроено оборудование интернет-провайдера? Получение марсианских пакетов через Интернет-интерфейс

У нас есть блокировка / 28 от нашего интернет-провайдера. Допустим, 1.1.1.240/28 со шлюзом 1.1.1.241. Мы получаем марсианские пакеты от другого клиента по адресу 1.1.1.214. Они отправляют трансляции на 1.1.1.255. Должны ли мы получать эти пакеты? Я не понимаю трансляцию в этом сценарии.

сообщение системного журнала

martian source 1.1.1.255 from 1.1.1.214, on dev eth0
ll header: ff:ff:ff:ff:ff:ff:00:XX:f3:XX:69:ad:08:00

сетевой интерфейс:

$ ifconfig eth0
eth0      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          inet addr:1.1.1.243  Bcast:1.1.1.255  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15161982 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1627243 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1028191733 (1.0 GB)  TX bytes:140279903 (140.2 MB)
          Memory:fbde0000-fbe00000

А может интерфейс неправильно настроен? Bcast указан там как 1.1.1.255. Если это нормальное поведение, я не думаю, что ядро ​​должно выводить сотни таких сообщений в системный журнал каждую минуту.

ОБНОВИТЬ

Эти пакеты постоянно приходят со скоростью 2-3 в секунду. Я захватил их, и они UDP src / dst port 15001: 10: 00: 91: 13: 00: 00: 39: 22: 23: 02: 00: 00: 00: 00: 00: 01: 3c: 62: 65 : 61: 63: 6f: 6e: 2f: 3e

Это страшно - пахнет так, будто ваш интернет-провайдер не изолирует широковещательные домены клиентов, а у этого другого клиента просто неправильно настроена сетевая маска / 24.

Если это так, то это довольно серьезная угроза безопасности, поскольку они могут эффективно отключить ваши устройства или заблокировать трафик для ваших систем, случайно или злонамеренно.

Вы можете протестировать с помощью ARPing для системы другого клиента (что может быть немного сложно без перенастройки интерфейса вашего маршрутизатора) или просто наблюдая за ARP на линии и проверяя, получаете ли вы ARP-запросы для их подсети.

Если широковещательные домены действительно присоединены, вам нужно поговорить с вашим интернет-провайдером по душам.