Ich habe dieses seltsame Muster im Bandbreitendiagramm der Pfsense-Firewall in meinem Arbeitsnetzwerk bemerkt:
Wenn ich es richtig lese, gibt es einen konstanten Datenstrom von 6 Mbit / s, der vom lokalen Netzwerk in den LAN-Port fließt, aber anscheinend nirgendwo hingeht.
Ich habe es zum ersten Mal um 10:30 Uhr gemerkt und es ist immer noch im Gange, um 14:45 Uhr.
Ich war neugierig, woran es liegen könnte, habe die bandwidthd
Protokolle überprüft , konnte aber keinen anscheinend verdächtigen Host in den täglichen Protokollen finden (alle 4 Minuten).
Ich habe dann versucht, weitere Informationen zu erhalten ntopng
, und dies fällt auf:
Diese beiden Hosts sind die einzigen, die durch die MAC-Adresse anstelle der IP-Adresse identifiziert werden. Beide verwenden fast 6 Mbit / s. Einer von ihnen sendet nur und der andere empfängt nur. Eine davon scheint eine ungültige MAC-Adresse zu sein. Die andere scheint laut Online-Datenbanken ein TP-Link-Gerät zu sein.
Ich habe arp -a
sowohl auf meiner Workstation als auch auf dem pfsense-Root-Konto ausgeführt und den Abschnitt "Diagnose: ARP-Tabelle" im pfsense-Dashboard überprüft. Es sind keine Einträge vorhanden, die mit beginnen 64:70:02
.
Was könnte hier los sein?
quelle
Antworten:
Sie sollten den Port spiegeln, an dem dieses Symptom auftritt, und eine Paketerfassung durchführen. Das gibt Ihnen einige Details darüber, was genau los ist.
In unserem Netzwerk ist dies normalerweise ein kompromittierter Router, der jedoch unsere Gigabit-Switches lähmt, sodass der Durchsatz mehr als 6 MBit / s beträgt.
Es ist etwas veraltet, aber lesen Sie diesen Artikel
Aktualisieren Sie die Firmware des TP-Geräts, und ich würde es persönlich auf die Werkseinstellungen zurücksetzen und erneut einrichten. Überprüfen Sie vorher möglicherweise, ob die DNS-Einstellungen geändert wurden. Wenn es sich um einen Kundenrouter handelt, schalten Sie einfach den Port aus, bis Sie einen neuen Router erhalten.
Ich hoffe, das hilft.
quelle
Die Paketerfassung des Datenverkehrs ist der Weg, um herauszufinden, was dieser Datenverkehr ist. Sie können dies direkt an der Firewall tun, ohne in diesem Fall einen Span-Port einrichten zu müssen. Gehen Sie einfach zu Diagnose> Paketerfassung, wählen Sie Schnittstellen-LAN, setzen Sie die Anzahl auf 1000 und klicken Sie auf Start. Navigieren Sie nach einigen Sekunden wieder zu dieser Seite, und Sie können das Capture herunterladen. Öffnen Sie es in Wireshark und Sie sollten in der Lage sein zu sehen, was passiert.
quelle