从VLAN广播IP地址开始的本地扫描

Question

只要查看一些日志，我就会看到网络中137端口上的几个本地IP地址的本地扫描。然而，源IP是VLAN (.255)的广播IP。

我检查了日志，可以看到广播IP试图在同一子网的其他几个IP地址上启动udp 137连接。

所显示的许多错误是“Windows过滤平台阻塞了连接”。

我不能真正理解源IP地址是广播IP。有人以前见过这个吗？从你的经验来看，我应该去哪里找我可能错过的地方？谢谢。

Answer 1

可以使用任意IP地址，甚至无效IP地址来获取数据包。这通常是通过DDOS攻击完成的。

为了使扫描有效，扫描仪需要返回响应通信量。如果扫描来自192.168.2.255，如果网络是192.168.2.0/24，则响应将在该子网上广播，该子网上的每个主机(可能包括扫描仪)都会看到响应。

要识别扫描仪，请查看起始子网上入站扫描的以太网头，并查找源MAC地址。

很久以前，思科路由器上默认启用了“IP定向广播”。我的公司过去通过广播NTP更新到我们站点的B类定向广播地址来同步时间(类似于172.16.255.255)。NTP更新会淹没我的班级-B。

在过去的20年里，由于明显的安全原因，思科(可能还有其他供应商)的路由器“没有IP定向广播”是默认的。

如果始发子网为192.168.2.0/23，则192.168.2.255是一个完全有效的IP地址。中间路由器和主机不知道192.168.2.255是否有效，除非它们直接位于该子网上。

windows过滤平台阻塞并记录了其中的一些内容，这是很好的。“在源IP是直接连接子网的广播IP的情况下，不要接受数据包”听起来像是一条好规则。“不要接受具有多播源地址的数据包”将是另一个好消息。