Instrukcja obsługi Dlaczego występują częste przechwycone i odrzucone pakiety z adresu źródłowego IP 0.0.0.0 do docelowego adresu IP 255.255.255.255?

Aplikacje​


QuFirewall 2.4.2 i nowsze

Scenariusz​


Analiza przechwyconego ruchu sieciowego ujawnia częste występowanie pakietów o nietypowych źródłowych adresach IP, pochodzących z adresu źródłowego IP 0.0.0.0 i kierowanych do docelowego adresu IP 255.255.255.255. Ponadto strona analizy odrzuconych adresów IP wskazuje kilka odrzuconych pakietów pochodzących konkretnie z adresu 0.0.0.0.

Pakiety DHCP Discovery i pakiety rozgłoszeniowe​


W segmencie sieciowym protokół Dynamic Host Configuration Protocol (DHCP) odgrywa kluczową rolę w automatycznym przydzielaniu adresów IP i innych ustawień konfiguracyjnych urządzeniom. Na początkowych etapach działania DHCP urządzenia klienckie zazwyczaj wysyłają pakiety DHCP discovery. Pakiety te wykorzystują mechanizm rozgłaszania, co oznacza, że są wysyłane do wszystkich urządzeń w segmencie sieciowym przy użyciu docelowego adresu IP 255.255.255.255. Co istotne, źródłowy adres IP w tych pakietach discovery jest często ustawiony na 0.0.0.0. Ten konkretny adres pełni funkcję symbolu zastępczego, wskazując, że adres IP urządzenia nie został jeszcze przydzielony.

Pakiety rozgłoszeniowe związane z DHCP discovery zazwyczaj korzystają z protokołu User Datagram Protocol (UDP). Komunikacja między klientami a serwerami DHCP odbywa się najczęściej na portach UDP 67 (klient DHCP) i 68 (serwer DHCP).

Przyczyny generowania pakietów DHCP Discovery​


Pakiety DHCP discovery są zazwyczaj generowane w następujących scenariuszach:

  • Uruchomienie urządzenia: Po inicjalizacji lub ponownym uruchomieniu urządzenia klienckie (np. komputery, telefony, drukarki sieciowe) często rozgłaszają pakiety DHCP discovery w celu uzyskania adresu IP i powiązanych parametrów konfiguracji sieciowej.
  • Dołączenie do sieci: Gdy urządzenie zostaje nowo wprowadzone do segmentu sieciowego (np. za pomocą kabla Ethernet lub połączenia Wi-Fi), może zainicjować DHCP discovery w celu uzyskania odpowiedniego adresu IP.
  • Wygaśnięcie dzierżawy: Po wygaśnięciu wcześniej uzyskanej dzierżawy DHCP urządzenie klienckie może ponownie zainicjować proces, wysyłając pakiety DHCP discovery w celu odnowienia lub uzyskania nowego adresu IP.
  • Ręczne żądanie DHCP: W określonych scenariuszach administratorzy sieci lub użytkownicy mogą ręcznie wywołać wysyłanie pakietów DHCP discovery. Może to nastąpić podczas dostosowywania konfiguracji sieci lub przy żądaniu przydzielenia nowego adresu IP.

Rozwiązanie​


Jeśli znaczna liczba przechwyconych i odrzuconych pakietów z tymi konkretnymi źródłowymi adresami IP powoduje niepożądane powiadomienia lub przeciąża dzienniki, zaleca się dostosowanie ustawień profilu zapory w celu utworzenia lub modyfikacji reguły zezwalającej na ruch o następujących cechach:

  • Źródłowy adres IP: 0.0.0.0
  • Docelowy adres IP: 255.255.255.255
  • Protokół: UDP
  • Porty: 67 (źródłowy) i 68 (docelowy)

Włączając filtrowanie pakietów DHCP z tymi konkretnymi kryteriami, można zoptymalizować QuFirewall tak, aby skupiał się na przechwytywaniu i analizie bardziej krytycznego ruchu sieciowego, zmniejszając liczbę przechwyconych pakietów DHCP discovery oraz powiązanych powiadomień i wpisów w dziennikach.

  1. Otwórz QuFirewall.
    Pojawia się strona Profile zapory.
  2. Zidentyfikuj profil zapory do modyfikacji.
  3. Kliknij
    9737dccf2f054481809df2ea81df9f64.png

    .
    Pojawia się okno Edytuj regułę.
  4. Wybierz
    e405b4dd29e0feb0dae68f961c946009.png

    obok Pakiety DHCP na stronie Reguły IPv4.
  5. Kliknij Zastosuj.
    QuFirewall stosuje ustawienia profilu, a okno Edytuj regułę zostaje zamknięte.
 
Kliknij, aby rozwinąć...
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.
Początek strony Dół
Z powrotem