为什么 mDNS 数据包会到达子网掩码为 255.255.255.255 的设备？

首先，这样的计划没有成功的基础。考虑一下，使用“典型”子网掩码（例如 255.255.255.0），您已经定期从整个互联网（例如从您的浏览器正在与之通信的 Web 服务器）收到子网外的数据包。这就是互联网的工作原理。

这也适用于多播。尽管 mDNS 特别地是“链路本地”，但 IP 多播一般是可路由的 - 它甚至被设计为可以在整个互联网上传输（参见“Mbone”），并且今天仍然有 ISP 在客户之间路由多播数据包。因此，即使您的 mDNS 软件可能拒绝处理子网外的 mDNS 数据包，也没有理由说它无法接收这些数据包。

其次，子网掩码仅告知您的设备可以向何处发送数据包。（它实际上是通向子网的“在线”或“设备”路由的简写。）它与接收数据包无关，并且完全存在于您的设备内部：网络的其余部分实际上根本不知道您配置了哪个网络掩码。

本地子网内的数据包不是通过 IP 地址传递的，而是通过 MAC 地址传递的。以太网交换机并不特别关心目标 IP 地址（也不关心源 IP）——以太网上的数据包在 MAC 级别被寻址到设备 A 是正常的，但在 IP 级别则完全不同。

（事实上​​，网关（路由器）就是这样使用的：当您需要向 superuser.com 发送数据包时，数据包的地址是 superuser.com 的 IP 地址，但您的默认网关的 MAC 地址是该地址。这就是为什么有 ARP，这就是为什么“默认网关”字段是必要的：它告诉操作系统应该通过哪个设备的 MAC 地址发送“Internet”数据包。）

因此，如果数据包被发送到特殊的“广播”或“多播”MAC 地址，以太网交换机将把它传送到所有端口（或所有订阅端口），无论其 IP 级源或目标是什么；Wi-Fi 接入点也是如此。一旦数据包被传输到您手中，您就别无选择，只能接收它——操作系统可能会拒绝处理它，例如如果防火墙规则拒绝它，但它不能拒绝接收它。

一般来说，数据包捕获工具（如 Wireshark）在早期阶段获取输入，在任何防火墙过滤之前，更不用说任何其他处理，因此无论如何，即使是不需要的数据包也会出现在 Wireshark 中。

因此，可靠隔离主机的唯一方法是在以太网交换机/路由器级别进行隔离（即“第 2 层隔离”）。最常见的方法是在以太网交换机上创建 VLAN（每个 VLAN 一个 IP 子网）（如果路由器支持）；或者使用单独的物理交换机执行相同操作，这些交换机接入路由器上的不同端口（即，不是像家用路由器那样的交换端口）。

“mDNS”中的“m”代表“多播”，多播数据包被发送到独立于任何单播IP地址子网的特殊多播地址。

IETF 零配置网络 (ZeroConf) 是 mDNS 的主要组成部分，其设计专门为不受 IP 子网不匹配问题的影响，这也是它使用多播的原因之一。您可以使用 [m]DNS-SD 发现网络上所有支持 ZeroConf 的设备，即使它们配置错误且子网不匹配。

如果为了使零配置网络正常工作，您必须进行一些重新配置来修复子网不匹配的问题，那么它就名不副实了。