我们的ISP有一个/ 28块.假设1.1.1.240/28的网关为1.1.1.241.我们在1.1.1.214获得了来自其他客户的火星包.他们正在向1.1.1.255发送广播.我们应该收到这些数据包吗?我不明白这种情况下的广播.
系统日志消息
martian source 1.1.1.255 from 1.1.1.214,on dev eth0 ll header: ff:ff:ff:ff:ff:ff:00:XX:f3:XX:69:ad:08:00
网络接口:
$ifconfig eth0 eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX inet addr:1.1.1.243 Bcast:1.1.1.255 Mask:255.255.255.240 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15161982 errors:0 dropped:0 overruns:0 frame:0 TX packets:1627243 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1028191733 (1.0 GB) TX bytes:140279903 (140.2 MB) Memory:fbde0000-fbe00000
或者接口配置错误? Bcast在那里列为1.1.1.255.如果这是正常行为,我认为内核不应该每分钟向系统日志中喷出数百个.
UPDATE
这些数据包每秒持续2-3次.我已经捕获了它们并且它们是UDP src / dst端口15001:10:00:91:13:00:00:39:22:23:02:00:00:00:00:00:01:3c:62:65 :61:63:1207:6E:2F:3E
解决方法
这是可怕的 – 闻起来像你的ISP没有隔离客户的广播域,而这个其他客户只是将他们的网络掩码错误配置为/ 24.
如果是这种情况,那么这是一个相当严重的安全风险,因为它们可以有效地使您的设备脱机或者无意或恶意地为您的系统带来流量限制.
您可以通过ARPing测试其他客户的系统(如果没有重新配置路由器的接口,这可能有点棘手),或者只是在线路上观看ARP并查看您是否正在获取其子网的ARP请求.
如果确实加入了广播域,您需要与ISP保持一致.