Linuxを実行しているコンピューターがあり、いくつかの簡単なルールセットを使用してufwがアクティブ化されています。それはwifiによってASUS4G-N12ルーターに接続されています。数日前にufwログを調べたところ、一部の接続がブロックされていたことがわかりました。今日、私はログをチェックし、ログファイルに多くの新しい(以前と同じように)エントリがあります。
[UFWブロック] IN = my_laptop_wifi_interface OUT = MAC = 01:00:5e:00:00:01:my_router_MAC_address:08:00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 28 TOS = 0x00 PREC = 0x00 TTL = 1 ID = 6828 PROTO = 2
私は専門家ではありませんが、正しく理解していれば、自宅のWi-Fiルーターが奇妙なことをしたことを意味します。インターネットで検索してルーターを確認したところ、このエントリは次のようになっていることがわかりました。
MAC = 01:00:5e:00:00:01:my_router_MAC_address:08:00
これは、接続がルーターからのものであり、(私が正しく理解している場合)IPv4プロトコル(08:00はEtherType IPv4を指します)によってマルチキャスト用の標準MAC(01:00:5e:00:00:01)に到達しようとすることを意味します。
SRC = 192.168.1.1
ローカルネットワーク内のルーターのIPです。
DST = 224.0.0.1
は、すべてのホストのマルチキャストグループアドレスの標準IPです。同じネットワークセグメント上のすべてのホストです。
LEN = 28 TOS = 0x00 PREC = 0x00
おそらくどういうわけかパケットコンテンツを指します。
TTL = 1
存続するパケット時間です。
ID = 6828
おそらくufwの内部番号であり、それが異なるたびに、そしてあなたが見ることができるようにそれらの多くがあります。
PROTO = 2
おそらくインターネットグループ管理プロトコル(IGMP)を指しているので、これもマルチキャストに関連しています。
ファイアウォールのセキュリティルールの1つに、すべての着信接続を拒否するように指示されているため、これらの接続はブロックされています。私はネットワークスペシャリストではないので、おそらくそれは正常な状況であり、ルーターはルーティンググループのメンバーシップなどに関連する何かをチェックするためにそのようなメッセージを送信することがあります。ただし、私が知る限り、ルーターでそのような通信方法を使用するサービスは実行されていないため、その権利があれば、そのようなトラフィックは生成されません。これに加えて、前回dmesgログをチェックしたとき、このようなエントリはなかったと確信しています。その一方で、その時から多くのことが変更されました。たとえば、ルーターのファームウェアをアップグレードしたり、いくつかの設定(ルーターとラップトップの両方)を変更したりしました。
そして、ここに私の質問があります:
なぜルーターはそれらの奇妙なことをするのですか? (そしてそれはまったく奇妙ですか?)
気になることはありますか? (パソコンの接続がブロックされているのでかなり安全ですが、ローカルネットワークのセキュリティ違反の可能性があります。たとえば、ルーターが攻撃者によって所有されている可能性はありますか?)
これはかなり正常なことです。多くのホームルーターではIGMPが有効になっています(ローカルマルチキャストを改善するため、場合によってはISPからマルチキャストIPTVを受信するため)。
つまり、ネットワーク内の1つのデバイス(通常はルーター自体)がIGMPの「クエリア」になり、他のすべてのデバイスを頻繁にポーリングして変更を確認します(たとえば、IGMPv1が明らかにしなかったため、デバイスはまだ生きていて、サブスクライブされています「購読解除」機能があります)。
ICMPとIGMPについて不必要に偏執的にならないでください。