Tráfego UDP não solicitado do ISP

Navegue suas respostas
0

A partir da última semana, estou vendo um aumento no tráfego UDP no lado do provedor de serviços de Internet da minha rede doméstica e não consigo identificar a origem e o motivo.

Informações relacionadas sobre a topologia:

ISP - > Fibra para o edifício - > Gabinete de utilidade do ISP - > Cabo CAT6 - > Mikrotik Router (Port ether1 ) - > Cliente PPPoE para Internet (também roda no mikrotik)

O tráfego que estou vendo está na porta ether1 , do lado do ISP. Eu só estou usando essa porta para PPPoE, mas o tráfego é outra coisa, flutuando entre 10Mbps a 500Mbps. Em outras palavras, não está relacionado ao uso real da Internet. Mesmo se eu desabilitar o cliente PPPoE (== minha Internet), ele está lá.

A porta de destino mostra 5000, descobri que isso está relacionado ao UPnP, mas acho que não deve aparecer nessa porta.

tráfego ether1

Amostra Wireshark do referido tráfego (enviei brevemente todo o tráfego ether1 para o meu PC usando o sniffer de pacotes mikrotik para capturar isso)

Eu nem vejo um impacto no desempenho deste problema, mas estou curioso sobre o que causa isso. Também não sou a fonte nem o destino deste tráfego, então por que vejo isso?

Qualquer ajuda é apreciada, obrigado.

    
por sabbath 28.06.2018 / 21:20

2 respostas

0

O seu ISP também está fornecendo os serviços de IPTV?

Isso ocorre quando o IPTV transmite para os STBs do cliente (set-top-boxes). Todos estão na mesma VLAN, as fontes são de porta diferente, mas de um ou poucos IPs de headends e destinos estão em vários IP, mas sempre na mesma porta.

Quando o cliente seleciona o canal, o STB envia solicitação de junção multicast e o equipamento de rede em seu porão (gabinete do ISP) aceita o fluxo e o distribui para a rede ethernet local (seu ether1) do prédio.

As velocidades parecem corretas, embora essa de 27Mbit seja um pouco alta. Cerca de 8Mbit parece certo para o fluxo de 720p. Taxas mais baixas de 2-4 Mbit são provavelmente fluxos SD.

Devo dizer que esta definitivamente não é típica configuração de rede.

Você deve ter o CPE adequado que precisa ser configurado adequadamente para seu nível de serviço e, se você não estiver pagando pelo serviço de IPTV, seu CPE não deverá ser associado à VLAN de IPTV (id: 103 no seu caso ).

Além disso, é estranho que os IPs de origem e destino sejam de alcance público - normalmente os ISPs usam intervalos privados para STBs e headends - principalmente 10.x.x.x.

Qual o nível de acesso que você tem em seu roteador Mikrotik? E quem forneceu o roteador - ISP ou você?

Se você tiver admin no roteador, poderá vincular a vlan IPTV a uma das portas ethernet e observar os streams.

Mas isso parece algum tipo de configuração incorreta do equipamento de rede do ISP. O mais provável é que ele desapareça depois que descobrirem.

    
por 28.09.2018 / 20:30
-1

Isso pode ser devido a um worm.

Two very different worms are currently responsible for the rapid increase in port 5000 scans. The first, 'Bobax', uses port 5000 to identify Windows XP systems. Windows XP uses port 5000 (TCP) for 'Universal Plug and Play (UPnP)'. By default, UPnP is enabled. The second worm, 'Kibuv', will use an old vulnerability in Windows XP's UPnP implementation to exploit systems. This vulnerability was one of the first discovered in Windows XP and patches have been available.

Referências: [1] link

    
por 28.09.2018 / 20:01

Tags

Microsoft Word - como fazer duplo clique em selecionar tudo entre dois espaços em branco Erro ao criar a imagem do kickstart no CentOS 7