Назад | Перейти на главную страницу

Это моя сеть затоплена?

Я заметил этот странный образец на графике пропускной способности брандмауэра pfsense в моей рабочей сети:

Если я правильно это читаю, идет постоянный поток данных со скоростью 6 Мбит / с. из локальную сеть в порт LAN, но, похоже, она никуда не денется.

Я впервые заметил это в 10:30 утра, и он все еще продолжается до 14:45.

Интересно, что могло быть причиной этого, я осмотрел bandwidthd logs, но не смог найти подозрительного хоста в ежедневных журналах (с 4-минутными интервалами).

Затем я попытался получить дополнительную информацию, используя ntopng, и это выделяется:

Эти два хоста - единственные, которые идентифицируются по MAC-адресу вместо IP-адреса. Оба используют почти 6 Мбит / с. Один из них только отправляет, а другой только принимает. Один из них кажется недействительным MAC-адресом. Другой, согласно онлайн-базам данных, кажется устройством TP-Link.

Я провел arp -a как на моей рабочей станции, так и в учетной записи root pfsense, и проверил раздел «Диагностика: таблица ARP» на панели управления pfsense. Нет записей, начинающихся с 64:70:02.

Что здесь может происходить?

Вам следует отразить порт, показывающий этот симптом, и выполнить захват пакета. Это даст вам более подробную информацию о том, что именно происходит.

Когда это происходит в нашей сети, это обычно скомпрометированный маршрутизатор, но он наносит вред нашим гигабитным коммутаторам, поэтому пропускная способность превышает 6 Мбит / с.

это немного устарело, но прочтите эту статью

Обновите прошивку устройства TP, и я бы лично сбросил его до заводских настроек и установил его резервную копию. Перед тем как это сделать, возможно, проверьте, не были ли изменены настройки DNS. Если это клиентский маршрутизатор, просто отключите его порт, пока он не получит новый маршрутизатор.

Надеюсь, это поможет.

Пакетный захват трафика - это способ выяснить, что это за трафик. Вы можете сделать это прямо на брандмауэре, в этом случае нет необходимости настраивать порт диапазона. Просто перейдите в «Диагностика»> «Захват пакетов», выберите интерфейс LAN, установите счетчик на 1000 и нажмите «Пуск». Примерно через пару секунд вернитесь на эту страницу, и вы сможете скачать снимок. Откройте его в Wireshark, и вы сможете увидеть, что происходит.