送信元 IP アドレス 0.0.0.0 から宛先 IP 255.255.255.255 へのパケットがひんぱんにキャプチャーされ、拒否されるのはなぜですか?
該当製品
アプリケーション
QuFirewall 2.4.2およびそれ以降
シナリオ
キャプチャーしたネットワークトラフィックを分析すると、0.0.0.0 という基本的には使われない送信元 IP アドレス から宛先 IP 255.255.255.255 へのパケットが多く発生していることが判明します。さらに、拒否された IP 分析のページでは、0.0.0.0 を起点とするパケットがいくつも棄却されていることがわかります。
DHCP 検出とブロードキャストパケット
ひとつのネットワークセグメント内では、IP アドレスの自動割り当てやデバイスへの設定において、Dynamic Host Configuration Protocol (DHCP) が、重要な役割をもちます。DHCP の初期段階の動作において、クライアントデバイスは通常、DHCP 検出パケットを送出します。このパケットは、ブロードキャストの仕組みを利用します。つまり、それは、ネットワークセグメント上の全デバイスに対し 255.255.255.255 という宛先 IP アドレスを用いて送られます。注目すべきは、この検出パケットの送信元 IP アドレスが 0.0.0.0 にセットされていることがしばしばあるということです。このアドレスは、プレースホルダーとしての役目をもち、デバイスの IP アドレスが未設定であることを示します。
DHCP 検出に使われるブロードキャストパケットには通常、User Datagram Protocol (UDP) が使用されます。DHCP クライアントとサーバーの間の通信は通常、UDP ポート 67 (DHCP クライアント) と 68 (DHCP サーバー) の間で発生します。
DHCP 検出パケット生成の理由
DHCP 検出パケットは通常、次のシナリオで生成されます。
- デバイス起動時: 初期化あるいは再起動の際、クライアントデバイス (コンピューターや電話機、ネットワークプリンターなど) は、IP アドレスとそれに関連するネットワーク設定パラメーターを得るために DHCP 検出パケットをブロードキャストすることがよくあります。
- ネットワークオンボーディング: ネットワークセグメントに新たにデバイスが加わった場合 (たとえばイーサネットケーブルや Wi-Fi 接続で)、それは適切な IP アドレスを得るために DHCP 検出を開始することがあります。
- リース期間満了: 以前に獲得していた DHCP リースの期間が切れると、クライアントデバイスは、更新あるいは新しい IP アドレスを得るために DHCP 検出パケットを送出することで、このプロセスを再実行します。
- 手動による DHCP 要求: 特定のシナリオにおいては、ネットワーク管理者あるいはユーザーが、DHCP 検出パケットの送出を手動で行うことがあります。これは、ネットワーク構成の調整時や新しい IP アドレスの割り当てが求められた場合に発生します。
解決策
これら特定の送信元 IP をもったパケットが大量にキャプチャーされ拒否されることにより、不必要な通知やログの大量発生が起きる場合、ファイアウォールの設定を調整し、以下の特徴を持つトラフィックを許可するルールを作成、あるいはそのように修正することが効果的です。
- 送信元 IP アドレス: 0.0.0.0
- 宛先 IP アドレス: 255.255.255.255
- プロトコル: UDP
- ポート: 67 (送信元) および 68 (宛先)
これら特定の規準をもつ DHCP パケットフィルタリングを有効にすることで、QuFirewall がより重要なネットワークトラフィックのキャプチャーと分析に集中できるようになり、キャプチャーされる DHCP 検出パケットの量およびそれに応じた通知やログのエントリーが減少します。
- QuFirewall を開きます。
ファイアウォールプロファイルページが表示されます。 - 変更するファイアウォールプロファイルを見つけます。
をクリックします。
ルールの編集ウィンドウが開きます。- [IPv4 ルール]ページの[DHCP パケット]の横にある
を選択します。 - [適用]をクリックし、
QuFirewall がそのプロファイル設定を行い、ルールの編集 ウィンドウが閉じます。
