В нашей сети на работе у нас есть прокси-сервер Squid между нами и Интернетом. Его основная функция - кэширование обновлений Windows. Однако временами на внешний интерфейс нашего прокси-сервера Squid поступает огромное количество трафика, но он не читается ни одной из клиентских машин. Этот трафик всегда исходит от llnw.com или msecn.net. Он длится разное количество времени и использует почти всю нашу пропускную способность. Netstat -p подтверждает, что squid - это программа с открытым соединением.
Чем это вызвано?
Я устанавливал "range_offset_limit" в squid.conf на -1, чтобы при запросе какой-либо части обновления Windows загружался весь файл. Амос Джеффрис из списка рассылки squid-users предупредил меня, что это может иметь неприятные последствия, если клиент запросит только небольшой фрагмент большого файла (например, видео), размещенного на одном из этих CDN; squid будет вынужден загрузить весь файл, даже если клиент перестанет слушать.
Удаление этого параметра устраняет проблему. Спасибо audiophilth и Джеймсу Снирингеру за то, что направили меня на правильный путь.
Он не блокирует соединения, потому что ваш кеширующий прокси инициирует их, а у вас нет OUTPUT правила и по умолчанию OUTPUT политика ACCEPT. Я предполагаю, что почти весь ваш исходящий трафик на порту 80 ведет себя одинаково. Обратите внимание, как в вашем выводе ваш прокси также имеет прямые соединения с google.com и acast.com?
Кроме того, llnw.net и msecn.net не являются подделками. MSECN - это сеть кэширования Microsoft Edge, а LLNW - это Limelight Networks, обе из которых являются сетями доставки контента, аналогичными Akamai. Я предполагаю, что вы видите это, потому что ваши пользователи заходят на сайты, которые подписываются на их услуги. Обычно вы не хотите их блокировать, иначе вы сломаете много известных сайтов, если не сделаете их полностью недоступными для ваших пользователей.
llnw.net - это просто источник CDN, и я не уверен, что вы имеете в виду под «фиктивными» соединениями.