这是我的networking被洪水?
我在工作networking上的pfsense防火墙的带宽图上注意到了这种奇怪的模式:
如果我正在读它, 从本地networking到LAN端口有6 Mbps的数据stream,但似乎没有任何地方。
我第一次注意到它是上午10点30分,现在还在进行中,下午14点45分。
- KVM在2位客人之间最快的networking
- 如何将Dockernetworking接口关联到Linux主机上的Linuxnetworking接口(eth5)?
- FreeBSD接口上/下监视
- 在Ubuntu Server 16上安装networking后,如何强制PostgreSQL启动?
- Rsync SuSE文件系统,而不会破坏networking
对于什么可能导致它的好奇,我检查bandwidthd日志,但没有发现任何明显的可疑主机日志(间隔4分钟)。
然后我试图用ntopng获得更多的信息,而这一点非常突出:
这两台主机是唯一由MAC地址而不是IP地址标识的主机。 两者都使用近6 Mbps。 其中一个只发送,另一个只接收。 其中一个似乎是一个无效的MAC地址。 另一个,根据在线数据库,似乎是一个TP-Link设备。
我在我的工作站和pfsense root帐户上执行了arp -a ,并在pfsense仪表板上检查了“诊断:ARP表”部分。 没有以64:70:02开头的条目。
这里可能会发生什么?
您应该镜像显示此症状的端口并执行数据包捕获。 这会给你更多的细节,到底发生了什么事情。
当我们的networking发生这种情况时,它通常是一个被攻破的路由器,但是它会削弱我们的千兆交换机,所以它的吞吐量超过了6Mbps。
这有点过时,但阅读这篇文章
更新TP设备的固件,我会亲自重新设置,并将其设置为备份。 在这之前,可能会检查DNS设置是否已更改。 如果是客户的路由器,那么只需closures他们的端口,直到他们得到一个新的路由器。
希望有所帮助。
数据包捕获的stream量是找出什么是交通的方式。 你可以在防火墙上完成,在这种情况下不需要设置跨接端口。 只需进入诊断>数据包捕获,select接口LAN,将计数设置为1000,然后单击开始。 几秒钟后,浏览到该页面,您将能够下载捕获。 在Wireshark中打开它,你应该能够看到发生了什么。