Назад | Перейти на главную страницу

Проблемы с MDNS флудом на порту 5353 UDP

Я столкнулся с большой проблемой в небольшой сети, которой я управляю. Эта сеть является сетью Apple, с экстремальными ситуациями в аэропортах, экспрессами, mac book pro, imac, ipads, iphones и т. Д.

Я пошел сегодня добавить что-то в эту сеть и заметил, как сумасшедшие индикаторы на переключателе. Заметив это, я запустил wirehark и взглянул на файл журнала брандмауэра.

Строка, которую я вижу в файлах журнала снова и снова, это

Запретить 10.0.3.100 224.0.0.251 mdns / udp 5353 5353 1-Trusted Firebox UDP flooding 123 255 (внутренняя политика) proc_id = "firewall" rc = "101"

Исходный IP-адрес изменяется (10.0.3.100), но сообщение остается прежним.

У меня большая проблема с выяснением того, что вызывает это. Когда у меня подключены точки беспроводного доступа, я не могу подключиться ни к чему в сети. Когда я отключаю их, сеть в порядке и не насыщена этим трафиком.

У кого-нибудь есть хорошие способы диагностировать эту проблему? Я не уверен, только что это началось или так было всегда с тех пор, как я заметил это сейчас.

ОБНОВИТЬ: Сообщение, которое я вижу при запуске wirehark, выглядит следующим образом:

25 0.006498000 10.0.3.3 224.0.0.251 MDNS 135 Стандартный ответ на запрос 0x0000 A, очистка кеша 10.0.3.3 A, очистка кеша 169.254.233.55

Похоже, что несколько компьютеров в вашей сети используют многоадресный DNS.

Возможно, вы создаете какой-то сетевой цикл. Например, если пакеты идут из физической сети на одну точку доступа, которая пересылает их следующей точке доступа, которая отправляет их обратно в физическую сеть.

Вам следует подумать о пересмотре конфигурации коммутирующего / сетевого оборудования, так как у вас есть петля коммутации.

Что такое петля переключения? Проверь это: http://www.omnisecu.com/cisco-certified-network-associate-ccna/what-is-layer-2-switching-loop.htm

Если бы это был цикл переключения, вы бы увидели гораздо больше, чем просто трафик MDNS. С петлей коммутатора ВСЕ кадры без конца пересылаются через петлю, и сеть станет практически непригодной для использования в очень короткие сроки. Если вы можете посмотреть на загрузку ЦП на одном из переключателей, это также скажет вам, существует ли петля. Если существует петля, загрузка ЦП достигнет максимума (или будет очень близка) и останется такой до тех пор, пока петля не будет удалена или переключатель не будет выключен и снова выключится (но если петля все еще существует, ЦП снова будет максимально загружен). Вы видите одни и те же кадры несколько раз в захвате Wireshark? Если да, то у вас есть петля. Если нет, то нет. Скорее всего, у вас переполнение коммутатора из-за неправильно настроенного или неисправного устройства. Найдите источник фреймов и отключите его от сети. Вернулась ли активность в норму? Захват Wireshark выглядит нормально?

На ваших серверах работают службы (например, DNS-клиент DNSCache, CryptSvc, LANManWorkstation, NLASvc Network Location Awareness и WinRM), которые транслируют с использованием UDP 5353 для каталогизации / кеширования серверов, находящихся в сегменте. Bonjour - еще одна служба, которая может быть представлена ​​с использованием 5353 (Multicast DNS). В зависимости от того, использует ли их ваша система, вы можете отключить службы DNS-клиента и LANManWorkstation.