Wird mein Netzwerk überflutet?

2

Ich habe dieses seltsame Muster im Bandbreitendiagramm der Pfsense-Firewall in meinem Arbeitsnetzwerk bemerkt:

Bildbeschreibung hier eingeben

Wenn ich es richtig lese, gibt es einen konstanten Datenstrom von 6 Mbit / s, der vom lokalen Netzwerk in den LAN-Port fließt, aber anscheinend nirgendwo hingeht.

Ich habe es zum ersten Mal um 10:30 Uhr gemerkt und es ist immer noch im Gange, um 14:45 Uhr.

Ich war neugierig, woran es liegen könnte, habe die bandwidthdProtokolle überprüft , konnte aber keinen anscheinend verdächtigen Host in den täglichen Protokollen finden (alle 4 Minuten).

Ich habe dann versucht, weitere Informationen zu erhalten ntopng, und dies fällt auf:

Bildbeschreibung hier eingeben

Diese beiden Hosts sind die einzigen, die durch die MAC-Adresse anstelle der IP-Adresse identifiziert werden. Beide verwenden fast 6 Mbit / s. Einer von ihnen sendet nur und der andere empfängt nur. Eine davon scheint eine ungültige MAC-Adresse zu sein. Die andere scheint laut Online-Datenbanken ein TP-Link-Gerät zu sein.

Bildbeschreibung hier eingeben

Ich habe arp -asowohl auf meiner Workstation als auch auf dem pfsense-Root-Konto ausgeführt und den Abschnitt "Diagnose: ARP-Tabelle" im pfsense-Dashboard überprüft. Es sind keine Einträge vorhanden, die mit beginnen 64:70:02.

Was könnte hier los sein?

networking pfsense Dieser Brasilianer
quelle
1
MAC-Adresse FF: FF: FF: FF: FF ist die Ethernet Layer 2-Broadcast-Adresse. Dies ist normalerweise mit ARP-Anforderungen / Datenverkehr verbunden. Wenn ein Gerät mit einem anderen Gerät kommunizieren möchte, sendet es eine ARP-Anfrage, um die IP-Adresse des Zielhosts in seine IP-Adresse aufzulösen. Wenn Sie die Quelle dieses ARP-Datenverkehrs identifizieren können, können Sie dieses Gerät überprüfen.
Joeqwerty
Ja, ich habe vergessen, das zu erwähnen. Das alles Fs ist in hex, und wie Joe sagte, ist dies eine Broadcast-Adresse. Nicht vertraut mit pfsense, aber das könnte alles Broadcast-Verkehr von diesem TP-Router sein. Durch das Einrichten einiger VLANs kann diese Zahl verringert werden, wenn Sie dies möchten. Befinden sich eine Menge Hosts in derselben Broadcast-Domäne wie der TP-Router?
DemiAdmin

Antworten:

1

Sie sollten den Port spiegeln, an dem dieses Symptom auftritt, und eine Paketerfassung durchführen. Das gibt Ihnen einige Details darüber, was genau los ist.

In unserem Netzwerk ist dies normalerweise ein kompromittierter Router, der jedoch unsere Gigabit-Switches lähmt, sodass der Durchsatz mehr als 6 MBit / s beträgt.

Es ist etwas veraltet, aber lesen Sie diesen Artikel

Aktualisieren Sie die Firmware des TP-Geräts, und ich würde es persönlich auf die Werkseinstellungen zurücksetzen und erneut einrichten. Überprüfen Sie vorher möglicherweise, ob die DNS-Einstellungen geändert wurden. Wenn es sich um einen Kundenrouter handelt, schalten Sie einfach den Port aus, bis Sie einen neuen Router erhalten.

Ich hoffe, das hilft.

demiAdmin
quelle
Wie finde ich heraus, welcher Port betroffen ist?
Der Brasilianer
Dies hängt von Ihrer Netzwerktopologie ab. Überprüfen Sie Ihre MAC-Adresstabellen, die einen MAC mit einer Schnittstelle an einem Ihrer Switches verknüpfen würden.
DemiAdmin
0

Die Paketerfassung des Datenverkehrs ist der Weg, um herauszufinden, was dieser Datenverkehr ist. Sie können dies direkt an der Firewall tun, ohne in diesem Fall einen Span-Port einrichten zu müssen. Gehen Sie einfach zu Diagnose> Paketerfassung, wählen Sie Schnittstellen-LAN, setzen Sie die Anzahl auf 1000 und klicken Sie auf Start. Navigieren Sie nach einigen Sekunden wieder zu dieser Seite, und Sie können das Capture herunterladen. Öffnen Sie es in Wireshark und Sie sollten in der Lage sein zu sehen, was passiert.

Chris Büchler
quelle