Как найти и ограничить источник бродкаст/мультикаст трафика?

Question

[DLF414]

Есть маленький офис, 15 компьютеров, wi-fi роутер, сервер 1с, ещё один роутер (keenetic) в качестве выходного шлюза и dhcp-сервера . В офисе исчезает интернет, специалисты провайдера говорят, что с нашего айпи идёт 27 тысяч бродкаст пакетов в секунду. Нас соответственно блокирует защита оборудования со стороны провайдера.
Собственно вопрос, где мне искать источник такого трафика, если Wireshark внутри сети не видит никаких аномальных пакетов и никакого нового оборудования не появлялось в сети.
UPD: При общении с провайдером удалось узнать, что защита срабатывает не на broadcast, а на multicast пакеты
UPD2: Замена роутера на другой роутер keenetic проблему не решила

Comments

[Valentin Barbolin]

Если от вас идет значит проходит через микрот, значит какой-то девайс в сети шлет нарушу кучу запросов. Посмотри на самом микроте какой клиент генерить кучу трафика.

[Артём]

Скорее всего источником броадкаст флуда является роутер, который стоит на границе между вашей ЛВС и сетью провайдера. Попробуйте его поменять, хотя бы на время, может у кого из сотрудников лежит дома б/у роутер, если он без сюрпризов, то проблема должна уйти

[Руслан Федосеев]

броадкаст не может идти ЧЕРЕЗ роутер. Он идет ОТ роутера. Ищите на роутере

[SunTechnik]

Руслан Федосеев,
А если это multicast?

[Akina]

Коммутатор между роутером (keenetic) и провайдером, зеркалирование портов, комп со сниффером.

[ElxkoT]

Ну так это, сохраняете конфиг роутера, желательно вручную и вдумчиво, сбрасываете роутер, прошиваете свежей прошивкой, снова сбрасываете, снова вручную и вдумчиво восстанавливаете конфиг.
Очень похоже всё либо на очень сильно сломанные настройки, либо взлом и заражение. Как уже говорили выше, бродкаст в нормальной ситуации за роутер не пролезает.

[DLF414]

ElxkoT, через общение с провайдером удалось узнать, что защиту триггерит не бродкаст, а multicast. Алгоритм действий тот же?

[Aleksandr]

DLF414, какой именно мультикаст он не сообщил? Помогло бы выяснить причину.

[DLF414]

Aleksandr, нет, к сожалению.

[Akina]

А включить лог исходящих пакетов и посмотреть - не судьба?

[Артём]

DLF414, Вот статья прочитав которую, можно понять, что причина мультикаст шторма может быть как и в вирусне на одном или нескольких ПК, так и в просто криво написанном легальном ПО

Answer 1

[RaIDoX]

!Может быть коллизия связана с сетевой карты от стационарного компьютера

Comments

[Артём]

При широковещательных проблемах в офисной сети, нормальный(исправный) роутер не выпускает L2-траффик в сторону провайдера. У автора бы просто ложилась сеть, а оператор ничего бы об этом не знал

[AntHTML]

Артём, подтверждаю, при полете сетевухи, от флуда падал L2 сегмент до микрота. Остальная контора вообще ничего не заметила.

Answer 2

[Vittorf80]

Чтобы найти источник multicast-трафика, начните с анализа сетевых устройств. Проверьте настройки коммутаторов — иногда они рассылуют мультикаст-пакеты без необходимости. Используйте Wireshark на портах, подключённых к серверам или важным узлам, чтобы отследить источник. Обратите внимание на настройки роутеров и серверов 1С — возможно, есть внутренние службы или приложения, генерирующие много multicast. Также проверьте клиентские устройства на наличие необычных программ или настроек.