•  10-07-2019
  •  | 
  •  

Pregunta

Recientemente encendí el registro de Firewall de Windows en mi computadora y comencé a rastrear las conexiones entrantes y salientes. Algo curioso sobre los archivos de registro es que he notado numerosos paquetes UDP (de hecho, constituye básicamente todo mi tráfico entrante) que no tienen mi host como destino o fuente que aparece en los registros.

Pensé que esto podría ser un detalle de implementación para UDP (los paquetes están saltando sobre mi computadora en la subred), pero UDP UDP no me iluminó más, y no veo por qué mi computadora debería reenviar estos paquetes en primer lugar.

¿Alguna idea?

Editar 1: Así es como se ve una línea de archivo de registro con el misterioso paquete UDP: 

2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE

¿Es 239.255.255.250 una dirección de transmisión? Ahora que lo menciona, los paquetes UDP que estoy viendo tienen destinos muy específicos, básicamente 224.0.0.252, 239.255.255.250, 18.243.255.255. También recibo pings fantasmas de ICMP dirigidos a 224.0.0.1.

¿Fue útil?

Solución

Los paquetes dirigidos a IP que comienzan con 239 y 224 son paquetes de multidifusión . Esta es una forma de dirigir el tráfico a un grupo de computadoras sin transmitirlo a toda una red. Es utilizado por varios protocolos legítimos.

224.0.0.252 es la dirección utilizada por el Protocolo de resolución de nombre de enlace local .

239.255.255.250 es la dirección utilizada por el Protocolo simple de descubrimiento de servicios .

224.0.0.1 es la la dirección de todos los hosts , utilizada por su enrutador para ver quién en su red está dispuesto a participar en conversaciones de multidifusión.

Los dirigidos a 18.243.255.255 parecen transmisiones, nuevamente esto es utilizado por muchos protocolos legítimos como Bonjour.

Según lo recomendado por Luka, un buen analizador de protocolos como Wireshark le dirá exactamente lo que cada uno de estos paquetes son y lo que contienen.

Otros consejos

Depende del tipo de conexión en la que se encuentre. En la mayoría de los ISP de módem de cable, usted está básicamente en la misma LAN que sus vecinos y, por lo general, puede ver parte de su tráfico (como Brodcast).

Te recomiendo que instales el sniffer de paquetes y veas qué sucede realmente. El buen sniffer de paquetes multiplataforma es Wireshark

Es difícil de decir sin analizar los datos de registro, pero podrían ser paquetes de difusión en el segmento, en cuyo caso su sistema los escucharía. Esto es posible en IPv4 e IPv6.

Su sistema no debería reenviarlos a menos que esté configurado para enrutar, pero ciertamente puede estar escuchando paquetes todo el tiempo (varios protocolos de red usan UDP).

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top