从上周开始,我发现家庭网络 ISP 端的 UDP 流量有所增加,但无法确定来源和原因。
拓扑相关信息:
ISP -> 光纤到楼 -> ISP 的公用设施柜 -> CAT6 电缆 -> Mikrotik 路由器(端口以太1) -> 互联网的 PPPoE 客户端(也在 mikrotik 上运行)
我看到的流量是以太1端口,来自 ISP 端。我仅将此端口用于 PPPoE,但流量是其他的,在 10Mbps 到 500Mbps 之间波动。换句话说,它与我的实际互联网使用情况无关。即使我禁用 PPPoE 客户端(== 我的互联网),它仍然存在。
目标端口显示5000,我发现这与UPnP有关,但我认为它不应该出现在该端口。
上述流量的 Wireshark 样本(我使用 mikrotik 数据包嗅探器将所有 ether1 流量转发到我的电脑以捕获此信息)
我甚至没有看到这个问题对性能造成影响,但我很好奇是什么原因造成的。另外,我既不是此流量的来源,也不是目的地,那么为什么我会看到这种情况呢?
任何帮助都将不胜感激,谢谢。
答案1
您的 ISP 是否也提供 IPTV 服务?
这看起来像是 IPTV 流传输到客户的 STB(机顶盒)。所有都在同一个 VLAN 上,源来自不同的端口,但来自一个或几个头端 IP,目的地位于不同的 IP 上,但始终位于同一个端口上。
当客户选择频道时,STB 会发送多播加入请求,并且您地下室(ISP 的机柜)中的网络设备会接受该流并将其分发到您所在建筑物的本地以太网网络(您的 ether1)。
虽然 27Mbit 的速度有点高,但速度似乎还不错。对于 720p 流来说,8Mbit 左右似乎还算合适。2-4 Mbit 的较低速率可能是 SD 流。
我必须说这肯定不是典型的网络配置。
您应该拥有适当的 CPE,该 CPE 需要根据您的服务级别进行正确配置,如果您没有支付 IPTV 服务费用,您的 CPE 就不应该加入 IPTV VLAN(在您的情况下为 id:103)。
此外,源 IP 和目标 IP 来自公共范围,这很奇怪 - 通常 ISP 使用私有范围作为 STB 和头端 - 大部分是 10.xxx
您对 Mikrotik 路由器的访问权限级别是多少?路由器由谁提供 - ISP 还是您自己?
如果您拥有路由器管理员权限,您可以将 IPTV vlan 绑定到其中一个以太网端口并观看流。
但这看起来像是 ISP 网络设备配置错误。他们发现后很可能就会解决。
答案2
这可能是由于蠕虫引起的。
目前,两种截然不同的蠕虫病毒导致了端口 5000 扫描数量的快速增长。第一种蠕虫病毒“Bobax”使用端口 5000 来识别 Windows XP 系统。Windows XP 使用端口 5000 (TCP) 来实现“通用即插即用 (UPnP)”。默认情况下,UPnP 处于启用状态。第二种蠕虫病毒“Kibuv”将利用 Windows XP 的 UPnP 实现中的一个旧漏洞来攻击系统。该漏洞是 Windows XP 中最早发现的漏洞之一,目前已提供补丁。
参考文献:[1]https://isc.sans.edu/forums/diary/Port+5000+increase+due+to+two+worms+Bobax+and+Kibuv/198/