Perché vengono acquisiti e negati pacchetti dall'indirizzo IP di origine 0.0.0.0 all'IP di destinazione 255.255.255.255?
Prodotti applicabili
Applicazioni
QuFirewall 2.4.2 e successivo
Scenario
L'analisi del traffico di rete rilevato rivela una frequente occorrenza di pacchetti con indirizzi IP di origine insolita provenienti dall'indirizzo IP di origine 0.0.0.0 e dall'indirizzo IP di destinazione 255.255.255.255. Inoltre, la pagina Analisi IP negata identifica diversi pacchetti rifiutati originati specificamente da 0.0.0.0.
Pacchetti DHCP Discovery e Broadcast
All'interno di un segmento di rete, il protocollo DHCP (Dynamic host Configuration Protocol) svolge un ruolo cruciale nell'assegnazione automatica di indirizzi IP e altre impostazioni di configurazione ai dispositivi. Durante le fasi iniziali del funzionamento DHCP, i dispositivi client in genere trasmettono pacchetti di rilevamento DHCP. Questi pacchetti utilizzano un meccanismo di trasmissione, ovvero vengono inviati a tutti i dispositivi del segmento di rete utilizzando l'indirizzo IP di destinazione 255.255.255.255. In particolare, l'indirizzo IP di origine in questi pacchetti di ricerca è spesso impostato su 0.0.0.0. Questo indirizzo specifico funge da segnaposto, indicando che l'indirizzo IP del dispositivo non è ancora stato assegnato.
I pacchetti di trasmissione associati al rilevamento DHCP utilizzano in genere il protocollo UDP (User Datagram Protocol). La comunicazione tra i client e i server DHCP avviene solitamente sulle porte UDP 67 (client DHCP) e 68 (server DHCP).
Motivi per la generazione di pacchetti di rilevamento DHCP
I pacchetti di rilevamento DHCP vengono generalmente generati nei seguenti scenari:
- Avvio dispositivo: al momento dell'inizializzazione o del riavvio, i dispositivi client (ad esempio computer, telefoni, stampanti di rete) trasmettono spesso pacchetti di ricerca DHCP per acquisire un indirizzo IP e i relativi parametri di configurazione di rete.
- Onboarding di rete: quando un dispositivo viene introdotto di recente in un segmento di rete (ad esempio, tramite cavo Ethernet o connessione Wi-Fi), può avviare il rilevamento DHCP per ottenere un indirizzo IP adatto.
- Scadenza lease: dopo la scadenza di un lease DHCP acquisito in precedenza, un dispositivo client può riavviare il processo trasmettendo pacchetti di ricerca DHCP per rinnovare o ottenere un nuovo indirizzo IP.
- Richiesta DHCP manuale: in scenari specifici, gli amministratori di rete o gli utenti potrebbero attivare manualmente la trasmissione dei pacchetti di rilevamento DHCP. Ciò può verificarsi durante le regolazioni della configurazione di rete o quando si richiede una nuova allocazione dell'indirizzo IP.
Soluzione
Se un numero significativo di pacchetti acquisiti e rifiutati con questi specifici IP di origine causa notifiche indesiderate o sovraccarichi dei registri, si consiglia di modificare le impostazioni del profilo firewall per consentire la creazione o la modifica di una regola che consente il traffico con le seguenti caratteristiche:
- Indirizzo IP di origine: 0.0.0.0
- Indirizzo IP di destinazione: 255.255.255.255
- Protocollo: UDP
- Porte: 67 (origine) e 68 (destinazione)
Attivando il filtraggio dei pacchetti DHCP con questi criteri specifici, è possibile ottimizzare QuFirewall per concentrarsi sull'acquisizione e l'analisi del traffico di rete più critico, riducendo il volume dei pacchetti di rilevamento DHCP acquisiti e delle notifiche o voci di registro associate.
- Aprire QuFirewall.
Viene visualizzata la pagina Profili firewall. - Identificare il profilo firewall da modificare.
- Fare clic su
.
Viene visualizzata la finestra Modifica regola. - Selezionare
accanto a Pacchetti DHCP nella pagina Regole IPv4. - Fare clic su Applica.
QuFirewall applica le impostazioni del profilo e la finestra Modifica regola si chiude.
