我注意到工作网络上的 pfSense 防火墙的带宽图上出现了这种奇怪的模式:
如果我没看错的话,有一条持续 6 Mbps 的数据流从本地网络插入 LAN 端口,但似乎哪儿也去不了。
我第一次注意到它是在上午 10:30,截至现在下午 14:45 它仍在继续。
出于好奇想知道是什么原因造成的,我检查了bandwidthd日志,但在每日日志(间隔 4 分钟)中找不到任何明显可疑的主机。
然后我尝试使用 获取更多信息ntopng,其中有以下内容引人注目:
这两台主机是唯一通过 MAC 地址而不是 IP 地址来标识的主机。两台主机都使用了近 6 Mbps 的速率。其中一台只发送,另一台只接收。其中一台的 MAC 地址似乎无效。根据在线数据库,另一台似乎是 TP-Link 设备。
我arp -a在我的工作站和 pfsense 根帐户上都执行了此操作,并检查了 pfsense 仪表板上的“诊断:ARP 表”部分。没有以 开头的条目64:70:02。
这里可能发生什么事?
答案1
您应该镜像出现此症状的端口并执行数据包捕获。这将为您提供有关确切情况的更多详细信息。
当这种情况发生在我们的网络上时,通常是路由器受到了损害,但它会破坏我们的千兆交换机,因此吞吐量超过 6mbps。
虽然有点过时了,但是阅读本文
更新 TP 设备的固件,我个人会将其恢复出厂设置并重新设置。在执行此操作之前,可能需要检查 DNS 设置是否已更改。如果是客户的路由器,则只需关闭其端口,直到他们获得新路由器。
希望有所帮助。
答案2
数据包捕获是查明流量的方法。您可以直接在防火墙上执行此操作,在这种情况下无需设置 span 端口。只需转到“诊断”>“数据包捕获”,选择接口 LAN,将计数设置为 1000,然后单击“开始”。几秒钟后,浏览回该页面,您就可以下载捕获的内容。在 Wireshark 中打开它,您应该能够看到发生了什么。