У нас есть блокировка / 28 от нашего интернет-провайдера. Допустим, 1.1.1.240/28 со шлюзом 1.1.1.241. Мы получаем марсианские пакеты от другого клиента по адресу 1.1.1.214. Они отправляют трансляции на 1.1.1.255. Должны ли мы получать эти пакеты? Я не понимаю трансляцию в этом сценарии.
сообщение системного журнала
martian source 1.1.1.255 from 1.1.1.214, on dev eth0 ll header: ff:ff:ff:ff:ff:ff:00:XX:f3:XX:69:ad:08:00
сетевой интерфейс:
$ ifconfig eth0 eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX inet addr:1.1.1.243 Bcast:1.1.1.255 Mask:255.255.255.240 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15161982 errors:0 dropped:0 overruns:0 frame:0 TX packets:1627243 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1028191733 (1.0 GB) TX bytes:140279903 (140.2 MB) Memory:fbde0000-fbe00000
А может интерфейс неправильно настроен? Bcast указан там как 1.1.1.255. Если это нормальное поведение, я не думаю, что ядро должно выводить сотни таких сообщений в системный журнал каждую минуту.
ОБНОВИТЬ
Эти пакеты постоянно приходят со скоростью 2-3 в секунду. Я захватил их, и они UDP src / dst port 15001: 10: 00: 91: 13: 00: 00: 39: 22: 23: 02: 00: 00: 00: 00: 00: 01: 3c: 62: 65 : 61: 63: 6f: 6e: 2f: 3e
Это страшно - пахнет так, будто ваш интернет-провайдер не изолирует широковещательные домены клиентов, а у этого другого клиента просто неправильно настроена сетевая маска / 24.
Если это так, то это довольно серьезная угроза безопасности, поскольку они могут эффективно отключить ваши устройства или заблокировать трафик для ваших систем, случайно или злонамеренно.
Вы можете протестировать с помощью ARPing для системы другого клиента (что может быть немного сложно без перенастройки интерфейса вашего маршрутизатора) или просто наблюдая за ARP на линии и проверяя, получаете ли вы ARP-запросы для их подсети.
Если широковещательные домены действительно присоединены, вам нужно поговорить с вашим интернет-провайдером по душам.