Esta rede está sendo inundada?

2

Eu notei esse estranho padrão no gráfico de largura de banda do firewall pfsense na minha rede de trabalho:

Seeuestiverlendo,háumfluxoconstantededadosde6MbpsindodaredelocalparaaportaLAN,masparecequenãovaialugaralgum.

Eunoteipelaprimeiravezàs10:30damanhãeaindaestáemandamentoapartirdeagora,14:45.

Curiosoparasaberoquepoderiaestarcausandoisso,euinspecioneiosbandwidthdlogs,masnãoencontreinenhumhostaparentementesuspeitonoslogsdiários(comintervalosde4min).

Eutenteiobtermaisinformaçõesusandontopng,eissosedestaca:

Esses dois hosts são os únicos identificados pelo endereço MAC em vez do endereço IP. Ambos estão usando quase 6 Mbps. Um deles está apenas enviando e o outro está apenas recebendo. Um deles parece ser um endereço MAC inválido. O outro, de acordo com as bases de dados online, parece ser um dispositivo TP-Link.

Euexecuteiarp-anaminhaestaçãodetrabalhoenacontaraizpfsenseeverifiqueiaseção"Diagnóstico: Tabela ARP" no painel do pfsense. Não há entradas começando com 64:70:02 .

O que poderia estar acontecendo aqui?

    
por That Brazilian Guy 01.06.2015 / 19:55

2 respostas

1

Você deve espelhar a porta mostrando esse sintoma e executar uma captura de pacote. Isso vai lhe dar mais detalhes sobre o que está acontecendo.

Quando isso acontece em nossa rede, geralmente é um roteador comprometido, mas isso prejudica nossos comutadores gigabit, então são mais de 6 Mbps de taxa de transferência.

é um pouco datado, mas leia isto artigo

Atualize o firmware do dispositivo TP e, pessoalmente, eu o restauraria de fábrica e o configuraria novamente. Antes de fazer isso, verifique se as configurações de DNS foram alteradas. Se for o roteador de um cliente, basta desligar a porta até obter um novo roteador.

Espero que ajude.

    
por 01.06.2015 / 20:33
0

A captura de pacotes do tráfego é a maneira de descobrir o que é esse tráfego. Você pode fazer isso no firewall, não é necessário configurar uma porta span neste caso. Basta ir ao Diagnostics > Packet Capture, escolher interface LAN, definir contagem para 1000 e clicar em Iniciar. Alguns segundos depois, navegue de volta para essa página e você poderá baixar a captura. Abra-o no Wireshark e você poderá ver o que está acontecendo.

    
por 19.06.2015 / 06:22