为什么会频繁出现源 IP 地址为 0.0.0.0、目标 IP 为 255.255.255.255 的捕获数据包和被拒绝数据包?
最后修订日期:
2024-10-14
适用产品
应用程序
QuFirewall 2.4.2 和更高版本
场景
对捕获的网络流量的分析显示频繁出现源 IP 地址异常的数据包,源 IP 地址为 0.0.0.0、目标 IP 地址为 255.255.255.255。此外,“被拒绝 IP 分析”页面标出多个明确来自 0.0.0.0 的被拒绝数据包。
DHCP 发现和播发数据包
在一个网段中,动态主机配置协议 (DHCP) 在为设备自动分配 IP 地址和其他配置设置方面起着至关重要的作用。在 DHCP 操作的初始阶段,客户端设备通常会传输 DHCP 发现数据包。这些数据包使用播发机制,也就是说,这些数据包会发送到网段中使用目标 IP 地址 255.255.255.255 的所有设备。需要注意,这些发现数据包中的源 IP 地址通常设置为 0.0.0.0。此地址充当占位符,表示尚未分配设备 IP 地址。
与 DHCP 发现关联的播发数据包通常使用用户数据报协议 (UDP)。DHCP 客户端与服务器之间的通信通常在 UDP 端口 67(DHCP 客户端)和 68(DHCP 服务器)上进行。
生成 DHCP 发现数据包的原因
通常在以下场景中生成 DHCP 发现数据包:
- 设备启动:在初始化或重新启动时,客户端设备(例如计算机、电话、网络打印机)通常会播发 DHCP 发现数据包以获取 IP 地址及关联的网络配置参数。
- 网络接入:将新设备加入一个网段(例如通过以太网线或 Wi-Fi 连接)时,将启动 DHCP 发现以获取合适的 IP 地址。
- 租约到期:之前获取的 DHCP 租约到期后,客户端设备可能会传输 DHCP 发现数据包以重新开始此过程,以续订或获取新 IP 地址。
- 手动 DHCP 请求:在特定场景中,网络管理员或用户可能会手动触发传输 DHCP 发现数据包。网络配置调整或请求新 IP 地址分配时会发生此情况。
解决方案
如果具有这些特定源 IP 的捕获和被拒绝数据包数量较大,导致发生意外通知或日志过载,建议调整您的防火墙配置文件设置,使其允许创建或修改允许具有以下特征的流量的规则:
- 源 IP 地址:0.0.0.0
- 目标 IP 地址:255.255.255.255
- 协议:UDP
- 端口:67(源)和 68(目标)
通过启用使用这些特定标准筛选 DHCP 数据包,您可以优化 QuFirewall,专注于捕获和分析更关键的网络流量,减少捕获的 DHCP 发现数据包及相关通知或日志条目的数量。
- 打开 QuFirewall。
此时会出现防火墙配置文件页面。 - 找到要修改的防火墙配置文件。
- 单击
。
此时会出现编辑规则窗口。 - 在 IPv4 规则页面中,选择 DHCP 数据包旁边的
。 - 单击应用。
QuFirewall 随即会应用配置文件设置,此时会关闭编辑规则窗口。
