各位前輩:
公司防火牆出現了訊息,如圖紅圈所示,來源IP:172.26.152.185,查不到來源,目的IP:224.0.0.1,為美國,請問各位前輩,這是否代表被入侵了?
已邀請的邦友 {{ invite_list.length }}/5
IP address: 172.26.152.185,若以RFC 1918的定義,是屬於private IP的範圍.
簡單說就是使用在內部網路,不應該出現在Internet上被routing.
所以可以合理的判斷這個來源來自內部的機率最大.
IP address: 224.0.0.1,若以RFC 1112的定義,是屬於multicast的定址範圍.
並且224.0.0.1被定義為,整個multicast網路內所有的hosts.
所以解讀這筆log,意思就是:
有一IP address為172.26.152.185的host,發multicast封包,目的是網路上所有的multicast host.
我的經驗是,這樣的封包很常在小烏龜(DSL modem)發出來.小烏龜下面接的防火牆,就會出現這類的log.因為防火牆的預設規則大都是阻擋WAN端的封包.
aaioo提到:
224.0.0.1
http://www.pczone.com.tw/thread-38938.html
這篇讓您參考
172開頭照理說是Private IP
請在看你的IP管理表
172網段是否有誰在設定
務必要查到VM的Guest OS
版大的貼圖看起來應該用的是Fortigate的設備
Fortigate防火牆有個特性就是先看interface再看IP
這樣都是內網介面,因此不太像由WAN端的小烏龜發出
小弟倒是認為可能是有人私接設備入內網所發出
該設備IP非原始內網網段而發出multicast封包,所以被記錄
還有,版大的OS版本也太舊了,實在該升級一下
iThome鐵人賽
看影片追技術