Начиная с прошлой недели, я вижу увеличение трафика UDP на стороне интернет-провайдера моей домашней сети и не могу определить источник и причину.

Связанная информация о топологии:

Интернет-провайдер -> оптоволокно в здание -> служебный шкаф Интернет-провайдера -> кабель CAT6 -> Mikrotik Router (Port ether1) -> Клиент PPPoE для Интернета (также работает на микротике)

Трафик, который я вижу, находится на порте ether1 со стороны провайдера. Я использую этот порт только для PPPoE, но трафик - это что-то другое, колеблющееся между 10 Мбит / с и 500 Мбит / с. Другими словами, это не связано с моим фактическим использованием Интернета. Даже если я отключу клиент PPPoE (== мой интернет), он есть.

Порт назначения показывает 5000, я обнаружил, что это связано с UPnP, но я думаю, что он не должен появляться в этом порту.

трафик ether1

Пример указанного трафика в Wireshark (я кратко переадресовал весь трафик ether1 на мой компьютер, используя для этого захватчик пакетов mikrotik)

Я даже не вижу снижения производительности от этой проблемы, но мне любопытно, что вызывает это. Кроме того, я не источник и не место назначения для этого трафика, так почему я это вижу?

Любая помощь приветствуется, спасибо.

2 ответа2

0

Предоставляет ли ваш провайдер услуги IPTV?

Это выглядит как потоки IPTV на абонентские приставки (телевизионные приставки). Все они находятся в одной и той же VLAN, источники находятся на разных портах, но с одного или нескольких IP-адресов головных станций и адресатов находятся на разных IP-адресах, но всегда на одном и том же порту.

Когда клиент выбирает канал, STB отправляет запрос на многоадресное присоединение, и сетевое оборудование в вашем подвале (в кабинете интернет-провайдера) принимает поток и распределяет его по локальной сети Ethernet (ваш ether1) вашего здания.

Скорости кажутся правильными, хотя эта скорость 27 Мбит несколько выше. Около 8 Мбит кажется подходящим для потока 720p. Более низкие скорости от 2-4 Мбит - это, вероятно, потоки SD.

Должен сказать, что это определенно не типичная конфигурация сети.

У вас должен быть надлежащий CPE, который должен быть правильно настроен для вашего уровня обслуживания, и если вы не платите за услугу IPTV, ваш CPE не должен быть присоединен к VLAN IPTV (id:103 в вашем случае).

Кроме того, странно, что исходный и целевой IP-адреса относятся к общему диапазону - обычно провайдеры используют частные диапазоны для STB и головных станций - в основном 10.xxx

Какой уровень доступа у вас есть на вашем маршрутизаторе Mikrotik? А кто предоставил роутер - ISP или вы?

Если у вас есть администратор на маршрутизаторе, вы можете привязать IPlan vlan к одному из портов Ethernet и наблюдать за потоками.

Но это выглядит как некая неправильная настройка сетевого оборудования провайдера. Скорее всего, он исчезнет после того, как они узнают об этом.

-1

Это может быть связано с червем.

Два очень разных червя в настоящее время ответственны за быстрое увеличение сканирования порта 5000. Первый, «Bobax», использует порт 5000 для идентификации систем Windows XP. Windows XP использует порт 5000 (TCP) для «Универсального Plug and Play (UPnP)». По умолчанию UPnP включен. Второй червь, «Kibuv», будет использовать старую уязвимость в реализации UPnP в Windows XP для эксплуатации систем. Эта уязвимость была одной из первых, обнаруженных в Windows XP, и были доступны исправления.

Ссылки:[1] https://isc.sans.edu/forums/diary/Port+5000+increase+due+to+two+worms+Bobax+and+Kibuv/198/

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .