发现网关防火墙上有很娇虺樱箬多发送224.0.0.252的数据包,查了一下,是做名称解析用的多播地址。
224.0.0.252Link-localMulticastNameResolution(LLMNR)address本地链路多播名称解析
TheLinkLocalMulticastNameResolution(LLMNR)isaprotocolbasedontheDomainNameSystem(DNS)packetformatthatallowsbothIPv4andIPv6hoststoperformnameresolutionforhostsonthesamelocallink.ItisincludedinWindowsVista,WindowsServer2008,Windows7andWindows8.[1]LLMNRisdefinedinRFC4795.
工作过程
(1)主机在自己的内部名称缓存中查询名称。如果在缓存中没有找到了名称,那么主机就会向自己配置的主DNS服务器发送查询请求。如果主机没有收到回应或收到了错误信息,主机还会尝试搜索配置的备用DNS服务器。如果主机没有配置DNS服务器,或者如果在连接DNS服务器的时候没有遇到错误但失败了,那么名称解析会失败,并转为使用LLMNR。
(2)主机通过用户数据报协议(UDP)发送多播查询,查询主机名对应的IP地址,这个查询会被限制在本地子网(也就是所谓的链路局部)内。
(3)链路局部范围内每台支持LLMNR,并且被配置为响应传入查询的主机在收到这个查询请求后,会将被查询的名称和自己的主机名进行比较。如果没有找到匹配的主机名,那么计算机就会丢弃这个查询。如果找到了匹配的主机名,这台计算机会传输一条包含了自己IP地址的单播信息给请求该查询的主机