Неправильный трафик DHCP устройства Android не может быть идентифицирован

Привет, участники сообщества Serverfault.

Я безуспешно пытаюсь определить источник ненормального широковещательного трафика, генерируемого некоторыми устройствами Samsung Android, поэтому прошу вашей помощи.

У меня есть эта виртуальная машина pfSense, работающая поверх хоста VMware ESXi 5.1. Эта виртуальная машина работает как шлюз для нашей сети WiFi. Это общая конфигурация интерфейса.

  • WAN: общедоступный IP-адрес, подключенный напрямую к Интернету (VLAN3).
  • LAN: внутренний IP, используемый для маршрутизации к корпоративным сервисам (VLAN 8).
  • OPT1: 172.20.0.0/23 для студентов Wi-Fi (VLAN 200)
  • OPT2: 172.21.0.0/23 для внутренних пользователей wifi (vlan 201)
  • OPT3: 172.22.0.0/24 для гостевого Wi-Fi (VLAN 202)
  • OPT4: 172.23.0.0/24 для многоцелевой сети Wi-Fi (VLAN 203)
  • OPT5: общедоступный IP-адрес, подключенный напрямую к Интернету (вторичный WAN-доступ) (VLAN3)

OPT1-3 настроены с авторизацией портала портала.

Недавно мы заметили, что на интерфейсе WAN периодически присутствует ненормальный объем трафика, который использует пропускную способность около 10 Мбит / с по интернет-соединению. Делая захват пакета напрямую с помощью pfsence, мы замечаем устройство Android, генерирующее широковещательный трафик для DHCP с типом сообщения "Boot Request". Вы можете скачать файл CAP здесь.

Анализируя пакеты я могу сказать.

  • Широковещательный трафик имеет MAC-адрес интерфейса WAN pfSence в качестве источника (00:0c:29:44:07:c6)
  • Трансляция, если для 192.168.0.0/24 IP-сегмента, который не определен нигде в нашей локальной сети.
  • Трафик генерируется устройством Android с именем хоста android-5049184d224de050 и MAC-адресом f4:09:d8:2a:19:6e.
  • Трафик соответствует сообщению DHCP Boot Request.

Когда этот трафик присутствует, он заполняет VLAN 3 широковещательным пакетом, влияющим на другое устройство, которое подключается напрямую к интернет-каналу.

Я попытался отследить MAC-адрес "фантомных" устройств в нашей локальной сети, чтобы идентифицировать его, но иногда MAC просто не появляется ни в одной таблице ARP. Иногда я был в состоянии найти его подключенным к какой-либо точке доступа по VLAN 201 (внутренние пользователи Wi-Fi), но хотя он имеет IP-адрес 172.21.0.0/23, он не аутентифицирован, поэтому я могу предположить, что это недопустимый внутренний пользователь.

То, что я нашел действительно странным и по-настоящему не понимаю, это то, почему этот трафик работает по интерфейсу WAN, по-видимому, созданному самим собой, но на самом деле это устройство, подключенное через интерфейс OPT2, с IP-адресом, отличным от генерируемого трафика.

То, что я действительно хочу знать правильно, это понять, почему это происходит, чтобы найти решение.

Любой совет будет очень признателен. Заранее спасибо.

До свидания.

Источник

0 ответов

Другие вопросы по тегам