Привет, участники сообщества Serverfault.
Я безуспешно пытался определить источник аномального широковещательного трафика, создаваемого некоторыми устройствами Samsung Android, поэтому прошу вашей помощи.
У меня эта виртуальная машина pfSense работает поверх хоста VMware ESXi 5.1. Эта виртуальная машина работает как шлюз для нашей сети Wi-Fi. Это общая конфигурация интерфейса.
OPT1-3 настроены с аутентификацией через перехватывающий портал.
Недавно мы заметили, что на интерфейсе WAN периодически присутствует ненормальный объем трафика, который использует полосу пропускания около 10 Мбит / с нашего интернет-канала. Выполняя захват пакета напрямую с помощью pfsence, мы замечаем, что устройство Android генерирует широковещательный трафик для DHCP с типом сообщения «Boot Request». Вы можете скачать файл CAP из Вот.
Анализируя пакеты могу сказать.
Когда этот трафик присутствует, он заполняет VLAN 3 широковещательным пакетом, влияющим на другие устройства, которые подключаются напрямую к Интернету.
Я пытался отследить MAC-адрес «фантомных» устройств в нашей локальной сети, чтобы идентифицировать его, но иногда MAC просто не появляется ни в одной таблице ARP. Иногда мне удавалось найти его подключенным к какой-то точке доступа в VLAN 201 (внутренние пользователи Wi-Fi), но, хотя у него есть IP-адрес 172.21.0.0/23, он не аутентифицирован, поэтому я могу предположить, что это не действительный внутренний пользователь.
Что я нашел действительно странным и действительно не понимаю, так это то, почему этот трафик работает на интерфейсе WAN, который, по-видимому, генерируется сам по себе, но на самом деле это устройство, подключенное к интерфейсу OPT2 с IP-адресом, отличным от сгенерированного трафика.
Что я действительно хочу знать - это понять, почему это происходит, чтобы найти решение.
Любой совет будет очень признателен. Заранее спасибо.
До свидания.