Produkty objęte
Aplikacje
QuFirewall 2.4.2 i nowsze
Scenariusz
Analiza przechwyconego ruchu sieciowego ujawnia częste występowanie pakietów z nietypowymi źródłowymi adresami IP pochodzących ze źródłowego adresu IP 0.0.0.0 i docelowego adresu IP 255.255.255.255. Dodatkowo, strona Denied IP Analysis identyfikuje kilka odrzuconych pakietów pochodzących konkretnie z 0.0.0.0.
Pakiety DHCP Discovery i pakiety rozgłoszeniowe
W segmencie sieciowym protokół Dynamic Host Configuration Protocol (DHCP) odgrywa kluczową rolę w automatycznym przypisywaniu adresów IP i innych ustawień konfiguracyjnych urządzeniom. Podczas początkowych etapów działania DHCP, urządzenia klienckie zazwyczaj transmitują pakiety DHCP discovery. Pakiety te wykorzystują mechanizm rozgłoszeniowy, co oznacza, że są wysyłane do wszystkich urządzeń w segmencie sieciowym przy użyciu docelowego adresu IP 255.255.255.255. Co ważne, źródłowy adres IP w tych pakietach discovery jest często ustawiony na 0.0.0.0. Ten konkretny adres służy jako symbol zastępczy, wskazując, że adres IP urządzenia nie został jeszcze przypisany.
Pakiety rozgłoszeniowe związane z DHCP discovery zazwyczaj używają protokołu User Datagram Protocol (UDP). Komunikacja między klientami a serwerami DHCP zazwyczaj odbywa się na portach UDP 67 (klient DHCP) i 68 (serwer DHCP).
Przyczyny generowania pakietów DHCP Discovery
Pakiety DHCP discovery są zazwyczaj generowane w następujących scenariuszach:
Rozwiązanie
Jeśli znaczna liczba przechwyconych i odrzuconych pakietów z tymi konkretnymi źródłowymi adresami IP powoduje niepożądane powiadomienia lub przeciąża dzienniki, zaleca się dostosowanie ustawień profilu zapory sieciowej, aby umożliwić utworzenie lub modyfikację reguły zezwalającej na ruch o następujących cechach:
Aplikacje
QuFirewall 2.4.2 i nowsze
Scenariusz
Analiza przechwyconego ruchu sieciowego ujawnia częste występowanie pakietów z nietypowymi źródłowymi adresami IP pochodzących ze źródłowego adresu IP 0.0.0.0 i docelowego adresu IP 255.255.255.255. Dodatkowo, strona Denied IP Analysis identyfikuje kilka odrzuconych pakietów pochodzących konkretnie z 0.0.0.0.
Pakiety DHCP Discovery i pakiety rozgłoszeniowe
W segmencie sieciowym protokół Dynamic Host Configuration Protocol (DHCP) odgrywa kluczową rolę w automatycznym przypisywaniu adresów IP i innych ustawień konfiguracyjnych urządzeniom. Podczas początkowych etapów działania DHCP, urządzenia klienckie zazwyczaj transmitują pakiety DHCP discovery. Pakiety te wykorzystują mechanizm rozgłoszeniowy, co oznacza, że są wysyłane do wszystkich urządzeń w segmencie sieciowym przy użyciu docelowego adresu IP 255.255.255.255. Co ważne, źródłowy adres IP w tych pakietach discovery jest często ustawiony na 0.0.0.0. Ten konkretny adres służy jako symbol zastępczy, wskazując, że adres IP urządzenia nie został jeszcze przypisany.
Pakiety rozgłoszeniowe związane z DHCP discovery zazwyczaj używają protokołu User Datagram Protocol (UDP). Komunikacja między klientami a serwerami DHCP zazwyczaj odbywa się na portach UDP 67 (klient DHCP) i 68 (serwer DHCP).
Przyczyny generowania pakietów DHCP Discovery
Pakiety DHCP discovery są zazwyczaj generowane w następujących scenariuszach:
- Uruchomienie urządzenia: Po inicjalizacji lub ponownym uruchomieniu, urządzenia klienckie (np. komputery, telefony, drukarki sieciowe) często rozsyłają pakiety DHCP discovery w celu uzyskania adresu IP i powiązanych parametrów konfiguracji sieci.
- Wprowadzenie do sieci: Gdy urządzenie jest nowo wprowadzane do segmentu sieciowego (np. za pośrednictwem kabla Ethernet lub połączenia Wi-Fi), może zainicjować DHCP discovery w celu uzyskania odpowiedniego adresu IP.
- Wygaśnięcie dzierżawy: Po wygaśnięciu wcześniej uzyskanej dzierżawy DHCP, urządzenie klienckie może ponownie zainicjować proces, transmitując pakiety DHCP discovery w celu odnowienia lub uzyskania nowego adresu IP.
- Ręczne żądanie DHCP: W określonych scenariuszach administratorzy sieci lub użytkownicy mogą ręcznie wywołać transmisję pakietów DHCP discovery. Może to nastąpić podczas dostosowywania konfiguracji sieci lub podczas żądania nowej alokacji adresu IP.
Rozwiązanie
Jeśli znaczna liczba przechwyconych i odrzuconych pakietów z tymi konkretnymi źródłowymi adresami IP powoduje niepożądane powiadomienia lub przeciąża dzienniki, zaleca się dostosowanie ustawień profilu zapory sieciowej, aby umożliwić utworzenie lub modyfikację reguły zezwalającej na ruch o następujących cechach:
- Źródłowy adres IP: 0.0.0.0
- Docelowy adres IP: 255.255.255.255
- Protokół: UDP
- Porty: 67 (źródłowy) i 68 (docelowy)
- Otwórz QuFirewall.
Pojawi się strona Firewall Profiles. - Zidentyfikuj profil zapory sieciowej do zmodyfikowania.
- Kliknij
.
Pojawi się okno Edit Rule. - Wybierz
obok DHCP packets na stronie IPv4 Rules. - Kliknij Apply.
QuFirewall zastosuje ustawienia profilu i okno Edit Rule zostanie zamknięte.