Dlaczego pakiety ze źródłowego adresu IP 0.0.0.0 do docelowego adresu IP 255.255.255.255 są często przechwytywane i odrzucane?

Data ostatniej modyfikacji: 2024-10-14

Dotyczy produktów

Aplikacje

QuFirewall 2.4.2 (lub nowsza wersja)

Scenariusz

W analizie przechwyconego ruchu sieciowego widać częste występowanie pakietów z nietypowym źródłowym adresem IP 0.0.0.0 i docelowym adresem IP 255.255.255.255. Ponadto na stronie Analiza odrzuconych adresów IP widać kilka odrzuconych pakietów pochodzących z adresu 0.0.0.0.

Pakiety wykrywania i pakiety rozgłoszeniowe DHCP

W segmencie sieci kluczową rolę w automatycznym przypisywaniu adresów IP i konfigurowaniu innych ustawień urządzeń odgrywa protokół DHCP (Dynamic Host Configuration Protocol). W początkowych etapach działania protokołu DHCP urządzenia klienckie zazwyczaj przesyłają pakiety wykrywania DHCP. Te pakiety działają w ramach mechanizmu rozgłoszeniowego, czyli są wysyłane do wszystkich urządzeń w segmencie sieci, które mają docelowy adresu IP 255.255.255.255. Warto zauważyć, że źródłowy adres IP w pakietach wykrywania często ma wartość 0.0.0.0. Ten adres służy jako element zastępczy, informujący o tym, że adres IP urządzenia jeszcze nie został przypisany.

Pakiety rozgłoszeniowe powiązane z wykrywaniem DHCP są zwykle oparte na protokole UDP (User Datagram Protocol). Komunikacja między klientami a serwerami DHCP zwykle odbywa się za pośrednictwem portów UDP: 67 (na kliencie DHCP) i 68 (na serwerze DHCP).

Powody generowania pakietów wykrywania DHCP

Pakiety wykrywania DHCP są zwykle tworzone w następujących sytuacjach:

Uruchamianie urządzenia: W przypadku inicjacji lub ponownego uruchomienia urządzenia klienckie (np. komputery, telefony czy drukarki sieciowe) często emitują pakiety wykrywania DHCP w celu uzyskania adresu IP i odpowiednich parametrów konfiguracji sieci.
Przyłączanie do sieci: Gdy nowe urządzenie jest przyłączane do segmentu sieci (np. za pośrednictwem kabla Ethernet lub połączenia Wi-Fi), może zainicjować procedurę wykrywania DHCP w celu uzyskania odpowiedniego adresu IP.
Wygaśnięcie dzierżawy: Po wygaśnięciu nabytej dzierżawy DHCP urządzenie klienckie może ponownie przesłać pakiety wykrywania DHCP w celu odnowienia dzierżawy lub uzyskania nowego adresu IP.
Ręczne żądanie DHCP: W określonych sytuacjach administratorzy sieci lub użytkownicy mogą ręcznie uruchomić transmisję pakietów wykrywania DHCP. Może to wystąpić podczas korygowania konfiguracji sieci lub przydzielania nowego adresu IP.

Rozwiązanie

Jeśli wiele przechwyconych i odrzuconych pakietów z tymi źródłowymi adresami IP powoduje generowanie niechcianych powiadomień lub przeciążanie dzienników, zaleca się dostosowanie ustawień profilu zapory pod kątem utworzenia lub zmodyfikowania reguły, która zezwala na ruch o następujących parametrach:

Źródłowy adres IP: 0.0.0.0
Docelowy adres IP: 255.255.255.255
Protokół: UDP
Porty: 67 (źródło) i 68 (miejsce docelowe)

Filtrowanie pakietów DHCP według tych kryteriów umożliwia zoptymalizowanie działania aplikacji QuFirewall pod kątem przechwytywania i analizowania ważniejszych elementów ruchu sieciowego. Pozwala to zmniejszyć ilość przechwytywanych pakietów wykrywania DHCP i powiązanych z nimi powiadomień lub wpisów w dzienniku.

Otwórz aplikację QuFirewall.
Zostanie wyświetlona strona Profile zapory.
Znajdź profil zapory, który chcesz zmodyfikować.
Kliknij ikonę .
Zostanie wyświetlone okno Edytuj regułę.
Wybierz ikonę obok opcji Pakiety DHCP na stronie Reguły IPv4.
Kliknij przycisk Zastosuj.
Aplikacja QuFirewall zastosuje ustawienia profilu, a okno Edytuj regułę zostanie zamknięte.

Czy artykuł ten był przydatny?

Tak. Nie.

92% ludzi uważa, że to pomaga.

Poinformuj nas proszę, w jaki sposób możemy ulepszyć ten artykuł:

Artykuł ten nie zawiera istotnych informacji
Rozwiązania przedstawione w tym artykule nie działają
Artykuł ten jest zbyt skomplikowany
Artykuł ten zawiera nieprawidłowe informacje
Artykuł ten zawiera nieaktualne informacje

Bardziej szczegółowe opinie można wpisać poniżej.