Tráfego anormal de dispositivos Android DHCP não pode ser identificado

2

Membros da comunidade Hi Serverfault.

Estou tentando identificar a origem de um tráfego de transmissão anormal gerado por alguns dispositivos Android da Samsung sem sucesso, por isso peço sua ajuda.

Eu tenho essa máquina virtual pfSense sendo executada em um host VMware ESXi 5.1. Esta VM funciona como gateway para nossa rede WiFi. Esta é a configuração geral da interface.

  • WAN: IP público conectado diretamente à Internet (VLAN3).
  • LAN: IP interno usado para rotear para serviços corporativos (VLAN 8).
  • OPT1: 172.20.0.0/23 para estudantes wifi (VLAN 200)
  • OPT2: 172.21.0.0/23 para usuários internos wifi (vlan 201)
  • OPT3: 172.22.0.0/24 para o Wi-Fi convidado (VLAN 202)
  • OPT4: 172.23.0.0/24 para rede Wi-Fi multiusos (VLAN 203)
  • OPT5: IP público conectado diretamente à Internet (acesso secundário à WAN) (VLAN3)

OPT1-3 são configurados com autenticação de portal cativo.

Recentemente, notamos que na interface WAN periodicamente está presente uma quantidade anormal de tráfego, que utiliza cerca de 10 Mb / s de largura de banda do link da Internet. Fazendo uma captura de pacote diretamente com o pfsence, notamos um dispositivo Android gerando tráfego de broadcast para DHCP com o tipo de mensagem "Boot Request". Você pode baixar o arquivo CAP de aqui .

Analisando os pacotes, posso dizer.

  • O tráfego de transmissão tem o endereço MAC da interface da WAN pfSence como fonte (00: 0c: 29: 44: 07: c6)
  • Transmissão se for para o segmento IP 192.168.0.0/24, que não está definido em nenhum lugar de nossa LAN.
  • O tráfego é gerado por um dispositivo Android com nome de host android-5049184d224de050 e endereço MAC f4: 09: d8: 2a: 19: 6e.
  • O tráfego corresponde à mensagem de solicitação de inicialização DHCP.

Quando esse tráfego está presente, ele inunda a VLAN 3 com o pacote de transmissão afetando outros dispositivos que se conectam diretamente ao link da Internet.

Eu tentei rastrear os dispositivos "fantasmas" MAC em nossa LAN para identificá-los, mas às vezes o MAC nem aparece em nenhuma tabela ARP. Algumas outras vezes eu consegui encontrá-lo conectado a algum ponto de acesso na VLAN 201 (usuários internos wifi) mas apesar de ter um IP 172.21.0.0/23, ele não é autenticado, então eu posso assumir que não é um válido interno usuário.

O que achei muito estranho e realmente não entendi é por que esse tráfego roda na interface WAN aparentemente gerada por si só, mas na verdade é um dispositivo conectado na interface OPT2 com um IP diferente do tráfego gerado.

O que eu realmente quero saber é saber exatamente por que isso está acontecendo para chegar a uma solução.

Qualquer conselho será muito apreciado. Agradecemos antecipadamente.

Tchau.

    
por Dago Pacheco 27.04.2016 / 14:44

0 respostas