我最近打开了计算机上的Windows防火墙日志记录,并开始跟踪传入和传出连接.对日志文件感到好奇的是,我注意到许多UDP数据包(事实上,它基本上构成了我的所有传入流量)没有将主机作为目标或源显示在日志中.
我想这可能是对UDP一个实现细节(数据包被跳过去了我的电脑中的子网),但Wikipedia'ing UDP没有开导我了,我不明白为什么我的电脑应该被转发这些数据包第一名.
有任何想法吗?
编辑1:以下是神秘UDP数据包的日志文件行:
2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE
239.255.255.250是广播地址吗?现在你提到它,我看到的UDP数据包有非常具体的目的地,基本上是224.0.0.252,239.255.255.250,18.243.255.255.我也得到了针对224.0.0.1的幻像ICMP ping.
寻址到以239和224开始的IP的分组是多播分组.这是一种处理一组计算机的流量而不将其广播到整个网络的方法.它被各种合法协议使用.
224.0.0.252是链路本地名称解析协议使用的地址.
239.255.255.250是简单服务发现协议使用的地址.
224.0.0.1是所有主机地址,路由器使用该地址来查看网络上谁愿意参与多播会话.
发往18.243.255.255的那些看起来像广播,许多合法的协议如Bonjour也使用它.
正如Luka所推荐的那样,像Wireshark这样的好协议分析器会准确地告诉你每个数据包是什么以及它们包含什么.