Назад | Перейти на главную страницу

Ненормальный трафик DHCP-устройства Android не может быть идентифицирован

Привет, участники сообщества Serverfault.

Я безуспешно пытался определить источник аномального широковещательного трафика, создаваемого некоторыми устройствами Samsung Android, поэтому прошу вашей помощи.

У меня эта виртуальная машина pfSense работает поверх хоста VMware ESXi 5.1. Эта виртуальная машина работает как шлюз для нашей сети Wi-Fi. Это общая конфигурация интерфейса.

OPT1-3 настроены с аутентификацией через перехватывающий портал.

Недавно мы заметили, что на интерфейсе WAN периодически присутствует ненормальный объем трафика, который использует полосу пропускания около 10 Мбит / с нашего интернет-канала. Выполняя захват пакета напрямую с помощью pfsence, мы замечаем, что устройство Android генерирует широковещательный трафик для DHCP с типом сообщения «Boot Request». Вы можете скачать файл CAP из Вот.

Анализируя пакеты могу сказать.

Когда этот трафик присутствует, он заполняет VLAN 3 широковещательным пакетом, влияющим на другие устройства, которые подключаются напрямую к Интернету.

Я пытался отследить MAC-адрес «фантомных» устройств в нашей локальной сети, чтобы идентифицировать его, но иногда MAC просто не появляется ни в одной таблице ARP. Иногда мне удавалось найти его подключенным к какой-то точке доступа в VLAN 201 (внутренние пользователи Wi-Fi), но, хотя у него есть IP-адрес 172.21.0.0/23, он не аутентифицирован, поэтому я могу предположить, что это не действительный внутренний пользователь.

Что я нашел действительно странным и действительно не понимаю, так это то, почему этот трафик работает на интерфейсе WAN, который, по-видимому, генерируется сам по себе, но на самом деле это устройство, подключенное к интерфейсу OPT2 с IP-адресом, отличным от сгенерированного трафика.

Что я действительно хочу знать - это понять, почему это происходит, чтобы найти решение.

Любой совет будет очень признателен. Заранее спасибо.

До свидания.