mac地址转换_幽灵地址254.128.0.0来源之谜

最新推荐文章于 2022-05-16 00:10:03 发布
最新推荐文章于 2022-05-16 00:10:03 发布
阅读量893 收藏 1
点赞数 1
文章标签: mac地址转换 源地址和目的地址理解
巡检中发现,防火墙设备日志中出现大量254.128.0.0访问255.2.0.0的记录。由于防火墙功能所限,记录中只有IP地址信息但缺少MAC地址信息,而这些IP并不在资产列表中,因此无法定位到具体产生流量的设备。通过wireshark对流经该防火墙的流量进行了分析,排查步骤如下:1、首先,对流量中查找源IP为254.128.0.0,目的IP为255.2.0.0的流量,经过长时间的抓包,并未发现此类流量。但防火墙中该类告警仍不断出现。2、怀疑核心交换机设备是否未正确配置流量镜像,造成分析流量缺失。经过再三核实,确认交换机镜像流量配置正确,且流量未超过网卡处理能力。3、根据防火墙日志中的端口信息,异常流量主要有三类,一是254.128.0.0访问255.2.0.0的5355端口;二是254.128.0.0的546端口访问255.2.0.0访问547端口;三是254.128.0.0访问255.2.0.0的1900端口。结合流量发现,IPv6协议的流量中,有大量流量符合上述端口特征,如下图所示: 948476b630599624bc8dd9dcfba62635.png 00d61f865d95f1c281c443040f4c3bac.png 851a239994c7c1f889f91df7de0a6ae3.png bc63a16d27827ef4dc06ab7e26724b96.png抓取到的IPv6地址源地址均为fe80:0000:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式,这是16进制表现形式,共有128bit。而IPv4地址只有32bit,IPv6地址的前32bit为fe800000,转换为点分十进制后刚好为254.128.0.0。目的IPv6地址为ff02:0000:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX,同理ff020000转换后刚好为255.2.0.0。

由此可见,防火墙日志中的幽灵IP地址254.128.0.0访问255.2.0.0的根本原因是防火墙在处理IPv6协议的数据包时未能正确处理IPv6地址,导致异常IP地址的出现。

通过抓包得到的MAC地址,可以轻松定位到产生IPv6报文的设备,将IPv6协议支持功能关闭后问题即可得到解决。

weixin_39791225
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux ppp
伊伊_f
07-29 289
1.ppp downloadhttps://download.samba.org/pub/ppp/ 2.configure and make //要root执行 # ./configure --host=arm-linux --prefix=$PWD/out #make CC=arm-linux-gcc //一定要在make 指定交叉编译器不能在./configure命令指定 #make install 3.problem (1) /opt/Embedsky/gcc-4.6.2-glib...
IP地址相关知识整理
duhaomin的专栏
12-23 1234
很久没有用这方面的内容了,突然一问还真有点回忆不全整理一下: 从0.0.0.0到255.255.255.255大体用下边来分开 0.0.0.0   0.255.255.255 1.0.0.0   126.255.255.255  127.0.0.1 127.255.255.255 128.0.0.0 191.255.255.255 192.0.0.0 223.255.2
机器重启引发的路由问题
weixin_34266504的博客
05-07 217
10.1.0.254机器#route -nDestination Gateway Genmask Flags Metric Ref Use Iface61.183.254.128 0.0.0.0 255.255.255.240 U 0 0 0 em110.2.0.0 ...
ZTE-297520-double-apn-P-CSCF
weiniliuchao的博客
04-18 3545
记录: 1.      拨号前先设置一下,表示设备支持VOLTE AT+CEMODE=0 //只需要PS业务,并且数据优先 AT+CVMOD=1 //设备支持VOLTE,这样ATTACH REQUEST的时候会上报设备支持IMS //  这个CVMOD设置是VoIP only,如果IMS语音异常时,可能不会触发CSFB的。建议设置VoIP优先 2.    
计算机网络基础学习(二)
weixin_46966890的博客
05-16 1710
一、IP地址分类 分为A,B,C,D,E五大类 (1)A,B,C三类为单播地址---既可以做源IP使用也可以做目标IP使用 A类IP地址 一个A类IP地址是指, 在IP地址的四段号码中,第一段号码为网络号码,剩下的三段号码为本地计算机的号码。A类IP地址中网络的标识长度为8位,主机标识的长度为24位,A类网络地址数量较少,有126个网络,每个网络可以容纳主机数达1600多万台。 A类IP地址 地址范围1.0.0.1到127.255.255.254。 B类IP地址 一个B类IP地址是指,在IP地址
hunting_ghosts_fileless_attacks.pdf
02-27
【文件名】:《追踪无文件攻击中的幽灵》(Hunting Ghosts Fileless Attacks) 【摘要】:本文深入探讨了在无文件攻击中寻找威胁的挑战,这种攻击方式往往非常耗时且需要大量数据收集。传统的工具和防御手段在应对...
searchAgents的副本.py_py吃豆人_pacman_rowiad_searchAgents.py_searchage
09-29
该项目的主要目标是设计和实现各种搜索代理(Search Agents),以便让虚拟角色吃豆人能够有效地在迷宫中导航,避开幽灵并尽可能地吃掉所有豆子。 首先,让我们关注“py吃豆人”这一标签,这表明项目是使用Python...
沪江育儿网_爷爷变成了幽灵_20140328111348652_412.ppt
10-24
《爷爷变成了幽灵》是一本深受孩子们喜爱的绘本故事,由艾斯林·杜威·洛尔创作,讲述了一个关于亲情、死亡与告别的温馨故事。在这个故事中,一个小男孩艾斯发现他的爷爷突然变成了一个幽灵,这引发了他一系列关于...
易语言源码网吧幽灵易语言源码.rar
02-22
易语言源码网吧幽灵易语言源码.rar 易语言源码网吧幽灵易语言源码.rar 易语言源码网吧幽灵易语言源码.rar 易语言源码网吧幽灵易语言源码.rar 易语言源码网吧幽灵易语言源码.rar 易语言源码网吧幽灵易语言源码....
易语言幽灵小助手V1.0版源码.zip易语言项目例子源码下载
03-24
易语言幽灵小助手V1.0版源码.zip易语言项目例子源码下载易语言幽灵小助手V1.0版源码.zip易语言项目例子源码下载易语言幽灵小助手V1.0版源码.zip易语言项目例子源码下载 1.合个人学习技术做项目参考 2.适合学生做毕业...
应答式TCP服务器的幽灵连接
heartrude的专栏
04-24 1278
产生方式: 服务器提供应答式服务,没有应用层心跳。 客户端连接后,客户段产生异常(异常关机,异常断网)。 服务器的客户端连接状态仍然是Enstablish状态。 这个主要是因为TCP代码的Keep alive周期很长导致。所以这种应答式TCP服务器,最好提供心跳。不然会很快发现服务器都是幽灵连接,导致资源耗尽。
Mac OS X Lion下共享网络出现『“Wi-Fi”有自分配的IP地址169.254.XXX.XXX,将无法接入互联网』的解决办法...
weixin_30691871的博客
02-26 4181
昨天用蜂窝数据下载了很多App,导致没流量了,无奈用Mac分享下网络给iPhone用,结果一直出现这个错误,很是恼火。 Google了半天,在Apple官网找到了解决办法,原文如下: Internet connection does not work with an IP address space of 169.254.xxx.xxx from ISP, router, or ...
ipc连接常见问题
热门推荐
清流弯弯
07-06 1万+
<br /><br /> <br />1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?<br /> <br />答:留下记录是一定的,你走后用程序删除就可以了,或者用肉鸡入侵。<br /><br />2.你看下面的情况是为什么,可以连接但不能复制 <br /><br />net use //***.***.***.***/ipc$ "密码" /user:"用户名" <br />命令成功 <br />copy icmd.exe //***.***.***.***/admin$
尝试使用request.getRemoteAddr()时获得ipv6地址0.0.0.0.0.0.0.1的解决方法
菜鸟实验室
01-15 1368
如果tomcat运行在IPV6启用的服务器环境中,比如windows server 2008,如果用IPV4的地址去访问8080端口,连接将会失败。即使在hosts文件中配置了:: localhost127.0.0.1 localhost也是没有效果的。因为这是tomcat的问题,我们需要在tomcat目录下,将server.xml中的address指定为使用IPV4,详细配置可以参考如下
IPv6地址详解
IT成长之旅
09-28 1万+
IPv6地址介绍 注:转载自 http://ipv6.tsinghua.edu.cn/technology/ipv6-di-zhi-jie-shao/ 1. 认识IPv6地址 IPv4地址是类似 A.B.C.D 的格式,它是32位,用\".\"分成四段,用10进制表示;而IPv6地址类似X:X:X:X:X:X:X:X的格式,它是128位的,用\":\"分 成8段,用16进制表
android 获取网线ip_pc的ip变成169.254.x.x的过程分析
weixin_39955829的博客
12-03 289
网卡ip变成169.254.x.x是pc的网卡启动时,检测到环境中存在ip冲突,操作系统为保护起见分配的保留ip地址。此地址不是合法的地址,因此无法获取的网关的mac地址,无法实现上网等操作。 windows操作系统,当发生dhcp获取ip或者插拔网线后,windows操作系统会用确定的ip进行ip冲突的检测,发出三次广播的arp包(源ip目的mac为空,此时尚未确定ip可...
IPv6中的特殊地址
weixin_34152820的博客
12-17 592
IPv6中的特殊地址 ::/128即0:0:0:0:0:0:0:0,只能作为尚未获得正式地址的主机的源地址,不能作为目的地址,不能分配给真实的网络接口 ::1/128即0:0:0:0:0:0:0:1,回环地址,相当于ipv4中的localhost(127.0.0.1),ping locahost可得到此地址 2001::/16全球可聚合地址,由 IANA 按...
计算机网络(网络层)
sparky的博客
10-26 1575
文章目录路由算法及路由协议RIP(路由信息协议)是应用层协议RIP路由算法RIP报文格式(RIP是应用层协议)好消息快,坏消息慢 路由算法及路由协议 内部网关协议(IGP)Interior Gateway Protocol 外部网关协议(EGP)External Gateway Protocol RIP(路由信息协议)是应用层协议 RIP:(Routing Information Protocol)路由信息协议 RIP路由算法 修改R4的路由表,将下一跳全部改为R4,距离+
sql server 说明下 sys.dm_tran_version_store
最新发布
05-23
7. version_ghost_record_size_in_bytes:版本存储中幽灵记录的总大小 8. version_record_count:版本存储中事务版本的数量 9. version_record_size_in_bytes:版本存储中事务版本的总大小 使用sys.dm_tran_version...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值