嗨,Serverfault 社区成员。
我一直在尝试找出某些三星 Android 设备产生的异常广播流量的来源,但没有成功,所以我请求您的帮助。
我在 VMware ESXi 5.1 主机上运行了这个 pfSense 虚拟机。此虚拟机充当我们 WiFi 网络的网关。这是整体接口配置。
- WAN:直接连接到互联网的公网 IP(VLAN3)。
- LAN:用于路由到公司服务 (VLAN 8) 的内部 IP。
- OPT1:172.20.0.0/23 用于学生 wifi(VLAN 200)
- OPT2:172.21.0.0/23 用于内部用户 wifi(vlan 201)
- OPT3:172.22.0.0/24 用于访客 WiFi(VLAN 202)
- OPT4:172.23.0.0/24 用于多用途 WiFi 网络(VLAN 203)
- OPT5:直接连接到互联网的公共 IP(辅助 WAN 访问)(VLAN3)
OPT1-3 设置了强制门户身份验证。
最近我们注意到 WAN 接口上定期出现异常流量,这会占用大约 10 Mb/s 的互联网链路带宽。直接使用 pfsence 进行包捕获时,我们注意到 Android 设备为 DHCP 生成广播流量,消息类型为“启动请求”。您可以从以下位置下载 CAP 文件这里。
分析一下我可以说的包裹。
- 广播流量以 pfSence WAN 接口 MAC 地址作为源(00:0c:29:44:07:c6)
- 如果是 192.168.0.0/24 IP 段则进行广播,该 IP 段在我们的 LAN 上的任何地方都没有定义。
- 流量由主机名为 android-5049184d224de050 且 MAC 地址为 f4:09:d8:2a:19:6e 的 Android 设备生成。
- 流量对应于 DHCP 启动请求消息。
当出现此流量时,它会用广播包淹没 VLAN 3,从而影响直接连接到 Internet 链路的其他设备。
我曾尝试跟踪 LAN 上的“幻影”设备 MAC 以识别它,但有时 MAC 甚至不会出现在任何 ARP 表中。其他一些时候,我能够找到它连接到 VLAN 201(内部用户 wifi)上的某个接入点,但尽管它的 IP 为 172.21.0.0/23,但它没有经过身份验证,因此我可以假设它不是有效的内部用户。
我发现真正奇怪并且真正不明白的是为什么这种流量在 WAN 接口上运行,显然是由其自身生成的,但实际上是连接在 OPT2 接口上的设备,其 IP 与生成的流量不同。
我现在真正想知道的是了解为什么会发生这种情况,以便找到解决方案。
任何建议都将不胜感激。提前致谢。
再见。