Instrukcja obsługi Dlaczego występują częste przechwycone i odrzucone pakiety z adresu źródłowego IP 0.0.0.0 do docelowego adresu IP 255.255.255.255?

Aplikacje​

QuFirewall 2.4.2 i nowsze

Scenariusz​

Analiza przechwyconego ruchu sieciowego ujawnia częste występowanie pakietów o nietypowych źródłowych adresach IP, pochodzących z adresu źródłowego IP 0.0.0.0 i kierowanych do docelowego adresu IP 255.255.255.255. Ponadto strona analizy odrzuconych adresów IP wskazuje kilka odrzuconych pakietów pochodzących konkretnie z adresu 0.0.0.0.

Pakiety DHCP Discovery i pakiety rozgłoszeniowe​

W segmencie sieciowym protokół Dynamic Host Configuration Protocol (DHCP) odgrywa kluczową rolę w automatycznym przydzielaniu adresów IP i innych ustawień konfiguracyjnych urządzeniom. Na początkowych etapach działania DHCP urządzenia klienckie zazwyczaj wysyłają pakiety DHCP discovery. Pakiety te wykorzystują mechanizm rozgłaszania, co oznacza, że są wysyłane do wszystkich urządzeń w segmencie sieciowym przy użyciu docelowego adresu IP 255.255.255.255. Co istotne, źródłowy adres IP w tych pakietach discovery jest często ustawiony na 0.0.0.0. Ten konkretny adres pełni funkcję symbolu zastępczego, wskazując, że adres IP urządzenia nie został jeszcze przydzielony.

Pakiety rozgłoszeniowe związane z DHCP discovery zazwyczaj korzystają z protokołu User Datagram Protocol (UDP). Komunikacja między klientami a serwerami DHCP odbywa się najczęściej na portach UDP 67 (klient DHCP) i 68 (serwer DHCP).

Przyczyny generowania pakietów DHCP Discovery​

Pakiety DHCP discovery są zazwyczaj generowane w następujących scenariuszach:

• Uruchomienie urządzenia: Po inicjalizacji lub ponownym uruchomieniu urządzenia klienckie (np. komputery, telefony, drukarki sieciowe) często rozgłaszają pakiety DHCP discovery w celu uzyskania adresu IP i powiązanych parametrów konfiguracji sieciowej.
• Dołączenie do sieci: Gdy urządzenie zostaje nowo wprowadzone do segmentu sieciowego (np. za pomocą kabla Ethernet lub połączenia Wi-Fi), może zainicjować DHCP discovery w celu uzyskania odpowiedniego adresu IP.
• Wygaśnięcie dzierżawy: Po wygaśnięciu wcześniej uzyskanej dzierżawy DHCP urządzenie klienckie może ponownie zainicjować proces, wysyłając pakiety DHCP discovery w celu odnowienia lub uzyskania nowego adresu IP.
• Ręczne żądanie DHCP: W określonych scenariuszach administratorzy sieci lub użytkownicy mogą ręcznie wywołać wysyłanie pakietów DHCP discovery. Może to nastąpić podczas dostosowywania konfiguracji sieci lub przy żądaniu przydzielenia nowego adresu IP.

Rozwiązanie​

Jeśli znaczna liczba przechwyconych i odrzuconych pakietów z tymi konkretnymi źródłowymi adresami IP powoduje niepożądane powiadomienia lub przeciąża dzienniki, zaleca się dostosowanie ustawień profilu zapory w celu utworzenia lub modyfikacji reguły zezwalającej na ruch o następujących cechach:

• Źródłowy adres IP: 0.0.0.0
• Docelowy adres IP: 255.255.255.255
• Protokół: UDP
• Porty: 67 (źródłowy) i 68 (docelowy)

Włączając filtrowanie pakietów DHCP z tymi konkretnymi kryteriami, można zoptymalizować QuFirewall tak, aby skupiał się na przechwytywaniu i analizie bardziej krytycznego ruchu sieciowego, zmniejszając liczbę przechwyconych pakietów DHCP discovery oraz powiązanych powiadomień i wpisów w dziennikach.

1. Otwórz QuFirewall.
   Pojawia się strona Profile zapory.
2. Zidentyfikuj profil zapory do modyfikacji.
3. Kliknij
   
   
   
   .
   Pojawia się okno Edytuj regułę.
4. Wybierz
   
   
   
   obok Pakiety DHCP na stronie Reguły IPv4.
5. Kliknij Zastosuj.
   QuFirewall stosuje ustawienia profilu, a okno Edytuj regułę zostaje zamknięte.