Проблема с домашним интернетом. В панели роутера показывает, что постоянно имеется входящий трафик, 10-30мбит/с. На компьютере мониторы никакой активности не показывают. В качестве теста отключал копмпьютер, заходил в панель роутера с ноутбука и телефона (он точно уже не мог такой трафик генерировать), все равно активность есть. Перезагрузка роутера не помогает.
Проблемы от него в нагрузке на роутер, пинг падает да и общая скорость загрузки меньше.
Роутер — ZyXEL Keenetic Lite
Подключение — с постоянным белым IP.
Использую в качестве ОС — Windows.
Как посмотреть, что это за трафик и чего с ним дальше делать?
Гм, выше говорят что пк можно только в качестве пассивного сниффера. Хотя, если идет входящий паразитный трафик, то должно быть без разницы, что подключено? (Поясните, я просто не имею нужного количества знаний)
Что такое пассивный снифер?
Тут либо снифер либо не снифер, что ещё за активный и пассивный, это же не про голубых.
Если идет входящий то вы увидите все на интерфейсе пк как есть.
Пассивный = ни единого пакета наружу. Для чистоты эксперимента.Конечно, всегда можно тупо воткнуть в комп WAN-шнур и посмотреть на результат.
Я имел в виду настройку, когда у сетевого интерфейса невалидный MAC, нет IP-адреса, включен promisc mode и отключен ARP.
при неподнятом адаптере:
ifconfig eth0 hw ether 00:00:00:00:00:00 promisc
ifconfig eth0 -arp up
Есть вероятность, что у вашего провайдера руки кривые и это мультикаст к вам стучится, запретите его на роутере и проверьте, хотя лучше всего, как советовали выше снять дамп с wan и точно узнать.
Чтобы посмотреть — надо снять tcpdump с WAN интерфейса. В ZyXEL Keenetic нету tcpdump (но его можно туда поставить — нам нужно только поднять SSH на роутере и зайти из-под root, а дальше opkg install tcpdump и можно запускать tcpdump). Собранный файл читаем wireshark'ом.
Спасибо. Чтобы не ставить на роутер tcpdump, можно ли поставить wireshark на ПК, кабель в него воткнуть и снифать уже на нем трафик? (думаю так же ничего не должно измениться?)
Если этот паразитный трафик не предназначен для ПК, то Wireshark на ПК особо ничего полезного не покажет. Тут важно понюхать именно WAN интерфейс на устройстве.
В идеале — найдите машину с двумя сетевыми картами, запустите на ней любой привычный Вам *nix, настройте ее как пассивный сниффер (без IP, без ARP и т.п. — мануалов как это сделать масса) и воткните перед роутером.
Или же временно воткните перед роутером хаб, а в хаб, помимо роутера, ту же самую машину, с одним интерфейсом и аналогичными настройками (тут даже проще — не надо бридж настраивать между интерфейсами).
Сталкивался с аналогичной проблемой в Томске, НТС. У меня на входе микротик, так что легко посмотрел что это такое — потоки iptv и еще какой-то флуд с dst-ip не моего интерфейса. Решил добавлением reject-правила (не drop, а именно reject с host unreachable) — вроде бы помогло.
Простой
Простой
