大量224.0.0.251类似地址的问题

大量224.0.0.251类似地址的问题

   张吉吉     2019年12月9日 03:56     895    

1、问题

发现在网络监控中出现了很多的224.0.0.251或者224.0.0.252,以为是出现了什么异常,或者攻击之类的情况。

1.png

 

2、解释

224.0.0.251这类地址是做名称解析用的多播地址,简称LLMNR。

工作过程:

(1) 主机在自己的内部名称缓存中查询名称。如果在缓存中没有找到了名称,那么主机就会向自己配置的主DNS服务器发送查询请求。如果主机没有收到回应或收到了错误信息,主机还会尝试搜索配置的备用DNS服务器。如果主机没有配置DNS服务器,或者如果在连接DNS服务器的时候没有遇到错误但失败了,那么名称解析会失败,并转为使用LLMNR。

(2) 主机通过用户数据报协议(UDP)发送多播查询,查询主机名对应的IP地址,这个查询会被限制在本地子网(也就是所谓的链路局部)内。

(3) 链路局部范围内每台支持LLMNR,并且被配置为响应传入查询的主机在收到这个查询请求后,会将被查询的名称和自己的主机名进行比较。如果没有找到匹配的主机名,那么计算机就会丢弃这个查询。如果找到了匹配的主机名,这台计算机会传输一条包含了自己IP地址的单播信息给请求该查询的主机。

 


文章评论

0

其他文章