Tráfego UDP não solicitado do ISP

0

A partir da semana passada, estou vendo um aumento do tráfego UDP no lado do ISP da minha rede doméstica e não consigo identificar a fonte e o motivo.

Informações relacionadas à topologia:

ISP -> Fibra para o edifício -> gabinete utilitário do ISP -> cabo CAT6 -> Mikrotik Router (porta ether1 ) -> Cliente PPPoE para Internet (também roda no mikrotik)

O tráfego que estou vendo está na porta ether1 , do lado do ISP. Só estou usando essa porta para PPPoE, mas o tráfego é outra coisa, flutuando entre 10Mbps e 500Mbps. Em outras palavras, isso não está relacionado ao meu uso real da Internet. Mesmo se eu desabilitar o cliente PPPoE (== minha Internet), ele estará lá.

A porta de destino mostra 5000, descobri que está relacionada ao UPnP, mas acho que não deve aparecer nessa porta.

tráfego ether1

Amostra Wireshark do referido tráfego (encaminhei brevemente todo o tráfego ether1 para o meu PC usando o mikrotik packet sniffer para capturar isso)

Eu nem vejo um desempenho atingido com esse problema, mas estou curioso sobre o que causa isso. Também não sou a fonte nem o destino desse tráfego. Por que vejo isso?

Qualquer ajuda é apreciada, obrigado.

networking router ip Sábado
fonte
11
Isso é multicast. Eu acho que alguém na LAN Ethernet do seu prédio está transmitindo um fluxo de vídeo multicast.
Spiff

Respostas:

0

O seu ISP também está fornecendo os serviços de IPTV?

Isso parece como fluxos de IPTV para os STBs do cliente (decodificadores). Todos estão na mesma VLAN, as fontes são de porta diferente, mas de um ou poucos IPs de headends e destinos estão em vários IPs, mas sempre na mesma porta.

Quando o cliente seleciona o canal, o STB envia uma solicitação de junção multicast e o equipamento de rede em seu porão (gabinete do ISP) aceita o fluxo e o distribui para a rede Ethernet local (seu ether1) do seu prédio.

A velocidade parece certa, embora este de 27Mbit seja um pouco alto. Cerca de 8Mbit parece certo para o fluxo de 720p. Taxas mais baixas de 2-4 Mbit provavelmente são fluxos SD.

Devo dizer que essa definitivamente não é uma configuração de rede típica.

Você deve ter o CPE adequado que precisaria ser configurado corretamente para o seu nível de serviço e, se não estiver pagando pelo serviço IPTV, seu CPE não deverá estar associado à VLAN IPTV (id: 103 no seu caso).

Além disso, é estranho que os IPs de origem e destino sejam de alcance público - normalmente os ISPs usam intervalos privados para STBs e headends - principalmente 10.xxx

Qual o nível de acesso que você tem no seu roteador Mikrotik? E quem forneceu o roteador - ISP ou você?

Se você possui um administrador no roteador, pode vincular a IPTV vlan a uma das portas Ethernet e assistir aos fluxos.

Mas isso parece algum tipo de configuração incorreta do equipamento de rede do ISP. Provavelmente ele desaparecerá depois que descobrirem.

Loki
fonte
Obrigado pela resposta. O ISP força seus assinantes a usarem seus roteadores (renomeados e bloqueados), mas estou usando meu equipamento (mikrotik) usando o clone MAC. O ISP também fornece serviços de IPTV e eu posso confirmar que o ID da VLAN 103 realmente é usado para fluxos de vídeo logo depois que escrevi a pergunta. Não estou pagando pelo IPTV e não tenho o STB necessário. Eu tentei "ingressar" nesta VLAN, mas o ISP detectou e desativou imediatamente toda a minha porta WAN (e minha Internet). Eu precisava esperar 2 dias para que um técnico do ISP mudasse fisicamente minha porta no gabinete do porão. Não vou tentar de novo :) #
295
Ups, definitivamente é melhor não mexer mais com isso :) Existem vários tipos de configuração que os ISPs usam. No entanto, ainda não entendo por que eles não isolaram o tráfego de cada porta para evitar sobrecarregar a rede "local". Como você disse que o multicast pode chegar a 500 Mbps e presumo que o ether1 esteja a 1 Gbps, eles estão alcançando facilmente metade da capacidade total.
Loki
-1

Isso pode ser devido a um verme.

Atualmente, dois worms muito diferentes são responsáveis ​​pelo rápido aumento nas varreduras da porta 5000. O primeiro, 'Bobax', usa a porta 5000 para identificar os sistemas Windows XP. O Windows XP usa a porta 5000 (TCP) para 'Universal Plug and Play (UPnP)'. Por padrão, o UPnP está ativado. O segundo worm, 'Kibuv', usará uma antiga vulnerabilidade na implementação UPnP do Windows XP para explorar sistemas. Essa vulnerabilidade foi uma das primeiras descobertas no Windows XP e os patches estão disponíveis.

Referências: [1] https://isc.sans.edu/forums/diary/Port+5000+increase+due+to+two+worms+Bobax+and+Kibuv/198/

Marcelo Roberto Jimenez
fonte
Ok, apenas atualizei a resposta com as informações relevantes.
Marcelo Roberto Jimenez