Pergunta
Recentemente ativado o log do Firewall do Windows no meu computador e começou a monitorar conexões de entrada e de saída. Algo curioso sobre os arquivos de log é que eu tenho notado inúmeros pacotes UDP (na verdade, constitui, basicamente, todo o meu tráfego de entrada) que não tenho o meu host como destino ou fonte aparecendo nos logs.
Eu pensei que isso poderia ser um detalhe de implementação para UDP (os pacotes estão pulando por cima do meu computador na sub-rede), mas Wikipedia'ing UDP não me esclarecer mais, e eu não vejo por que meu computador deve ser o encaminhamento de esses pacotes em primeiro lugar.
Todas as idéias?
Editar 1: Aqui está o que uma linha de arquivo de log com os olhares de pacotes UDP misteriosos como:
2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE
É 239.255.255.250 um endereço de broadcast? Agora que você mencionou, os pacotes UDP que eu estou vendo têm destinos muito específicos, basicamente 224.0.0.252, 239.255.255.250, 18.243.255.255. Eu também obter fantasmas ICMP pings dirigida a 224.0.0.1.
Solução
Os pacotes endereçados a IPs começando com 239 e 224 são multicast pacotes . Esta é uma maneira de tráfego de endereço para um grupo de computadores sem transmiti-lo para uma rede inteira. Ele é usado por vários protocolos legítimos.
224.0.0.252 é o endereço usado pelo Local Link Nome resolução protocolo .
239.255.255.250 é o endereço usado pelo Simples Service Discovery Protocol .
Os dirigida a 18.243.255.255 olhar como transmissões, novamente este é usado por muitos protocolos legítimos, como Bonjour.
Conforme recomendado pelo Luka, um bom analisador de protocolo como Wireshark irá dizer-lhe precisamente o que cada um desses pacotes são eo que eles contêm.
Outras dicas
Depende do tipo de conexão que você está. Na maioria modem por cabo ISP é que você está basicamente na mesma LAN como seus neigburs, e pode normalmete ver algum do seu tráfego (como brodcast).
Id recomendo que você instale packet sniffer e ver o que está realmente acontecendo. Boa multiplataforma packet sniffer é Wireshark
É difícil dizer sem analisar os dados de registro, mas eles poderiam ser pacotes de difusão no segmento, caso em que você estiver sistema iria ouvi-los. Isto é possível em IPv4 e IPv6.
O sistema não deve ser encaminhá-los a menos que seja configurado para rota, mas certamente pode ser ouvindo pacotes todo o tempo (vários protocolos de rede usar UDP).