巡检中发现,防火墙设备日志中出现大量254.128.0.0访问255.2.0.0的记录。由于防火墙功能所限,记录中只有IP地址信息但缺少MAC地址信息,而这些IP并不在资产列表中,因此无法定位到具体产生流量的设备。通过wireshark对流经该防火墙的流量进行了分析,排查步骤如下:1、首先,对流量中查找源IP为254.128.0.0,目的IP为255.2.0.0的流量,经过长时间的抓包,并未发现此类流量。但防火墙中该类告警仍不断出现。2、怀疑核心交换机设备是否未正确配置流量镜像,造成分析流量缺失。经过再三核实,确认交换机镜像流量配置正确,且流量未超过网卡处理能力。3、根据防火墙日志中的端口信息,异常流量主要有三类,一是254.128.0.0访问255.2.0.0的5355端口;二是254.128.0.0的546端口访问255.2.0.0访问547端口;三是254.128.0.0访问255.2.0.0的1900端口。结合流量发现,IPv6协议的流量中,有大量流量符合上述端口特征,如下图所示:
抓取到的IPv6地址源地址均为fe80:0000:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式,这是16进制表现形式,共有128bit。而IPv4地址只有32bit,IPv6地址的前32bit为fe800000,转换为点分十进制后刚好为254.128.0.0。目的IPv6地址为ff02:0000:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX,同理ff020000转换后刚好为255.2.0.0。
![948476b630599624bc8dd9dcfba62635.png](https://i-blog.csdnimg.cn/blog_migrate/fff83a70c9839119c60a4275d955e97a.png)
![00d61f865d95f1c281c443040f4c3bac.png](https://i-blog.csdnimg.cn/blog_migrate/c0a7e75fcf493dcbe53826f6e1b76708.png)
![851a239994c7c1f889f91df7de0a6ae3.png](https://i-blog.csdnimg.cn/blog_migrate/9e73a9276ec8c318f95d579af8685b57.png)
![bc63a16d27827ef4dc06ab7e26724b96.png](https://i-blog.csdnimg.cn/blog_migrate/74e17fd0556cf2985b190f22bd7e0abe.png)
由此可见,防火墙日志中的幽灵IP地址254.128.0.0访问255.2.0.0的根本原因是防火墙在处理IPv6协议的数据包时未能正确处理IPv6地址,导致异常IP地址的出现。
通过抓包得到的MAC地址,可以轻松定位到产生IPv6报文的设备,将IPv6协议支持功能关闭后问题即可得到解决。