UDP和我的电脑？

Question

我最近在我的计算机上打开了 Windows 防火墙日志记录并开始跟踪传入和传出连接。对日志文件感到好奇的是，我注意到许多 UDP 数据包（实际上，它基本上构成了我所有的传入流量），这些数据包没有将我的主机作为目标或源出现在日志中。

我认为这可能是 UDP 的实现细节（数据包在子网中的我的计算机上跳跃）但*的 UDP 并没有再启发我，我不明白为什么我的计算机应该转发首先是这些数据包。

有什么想法吗？

编辑 1： 以下是带有神秘 UDP 数据包的日志文件行的样子：

2008-10-11 16:04:31 ALLOW UDP 18.243.7.218 239.255.255.250 49152 3702 0 - - - - - - - RECEIVE

239.255.255.250 是广播地址吗？既然你提到了，我看到的 UDP 数据包有非常具体的目的地，基本上是 224.0.0.252、239.255.255.250、18.243.255.255。我还收到了发往 224.0.0.1 的虚拟 ICMP ping。

Answer 1

发往以 239 和 224 开头的 IP 的数据包是multicast packets。这是一种无需将流量广播到整个网络即可将流量寻址到一组计算机的方法。它被各种合法协议使用。

224.0.0.252 是Link Local Name Resolution protocol 使用的地址。

239.255.255.250 是Simple Service Discovery Protocol 使用的地址。

224.0.0.1 是all hosts address，您的路由器使用它来查看您网络上谁愿意参与多播对话。

寻址到 18.243.255.255 的那些看起来像广播，这又被许多合法协议（例如 Bonjour）使用。

按照 Luka 的建议，像 Wireshark 这样的优秀协议分析器会准确地告诉您每个数据包是什么以及它们包含什么。

Answer 2

这取决于您使用的连接类型。 在大多数有线调制解调器 ISP 上，您基本上与您的邻居在同一个 LAN 上，并且通常可以看到他们的一些流量（如 brodcast）。

我建议您安装数据包嗅探器并查看实际情况。 好的多平台数据包嗅探器是Wireshark

Answer 3

如果不分析日志数据很难说，但它们可能是网段上的广播数据包，在这种情况下，您的系统会监听它们。这在 IPv4 和 IPv6 中是可能的。

除非设置为路由，否则您的系统不应转发它们，但它当然可以一直在监听数据包（各种网络协议使用 UDP）。