我运行了两台基于Xen / CentOS 6.5的虚拟机,这两台虚拟机都是由同一家公司托pipe的,但是在不同的物理位置连接到不同的networking(基本/ 24位W /单个网关.1)。 我在第一台主机上开发了一个iptables防火墙,其中一部分从各种保留networking(192.168.0.0/16,127.0.0.0/8等)logging和丢弃了stream量,包括在这个列表中的是224.0.0.0/4。 在第一个虚拟机上,我很less看到任何保留networking的stream量,并且可以安全地假设它是伪造的并且放心的。
但是,一旦我在第二个vm上安装了相同的一组iptables规则,它就开始每隔几分钟从0.0.0.0到224.0.0.1logging数据包。
Jan 6 21:44:43 server kernel: ipt (reserved): IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:25:90:2f:69:a8:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 tcpdump已经明确说明数据包实际上是IGMPv2组播数据包。
19:44:43.779680 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA)) 0.0.0.0 > all-systems.mcast.net: igmp query v2
IGMP的主机知识似乎是:
[root@server ~]# cat /proc/net/igmp Idx Device : Count Querier Group Users Timer Reporter 1 lo : 1 V3 010000E0 1 0:00000000 0 2 eth0 : 1 V3 010000E0 1 0:00000000 0
顺便说一下,iptables日志行中的src / dst MAC地址既不来自主机接口,也不来自网关接口(至less根据arp),如果有什么区别的话。
问题:
谢谢你的帮助。
有关地址224.0.0.1的信息
The All Hosts multicast group addresses all hosts on the same network segment.
我认为是一个默认地址多播,你可以从这个地址丢弃stream量,关于默认多播地址的更多信息http://en.wikipedia.org/wiki/Multicast_address