неопознанный трафик

Groggy · Сообщение **Groggy** » Пн авг 10, 2009 12:14

Несколько раз в месяц UTM5 "ловит" такие пакеты
src 0.0.0.0 dst 255.255.255.255 размер от 25 до 40Mb

разумеется он отмечает его как непознанный.
В UTM5 заведены как положено Incoming, Outgoing, Local.
Как с эти бороться ?
Создать класс бродкаст?

Chris · Сообщение **Chris** » Пн авг 10, 2009 18:03

Протокол какой хоть? Может STCP/SUDP?

JAO · Сообщение **JAO** » Вт авг 11, 2009 05:19

А у вас никто не может залить по Netflow в биллинг какую-нибудь чушь? у меня порт 9996 UDP закрыт наглухо от всех, кроме четырех адресов, откуда собственно Netflow льется. Если и у вас все нормально в этом отношении, тогда проверяйте кто в сети производит такой трафик.

Groggy · Сообщение **Groggy** » Вт авг 11, 2009 08:09

>Протокол какой хоть? Может STCP/SUDP?

Детальный отчет говорит
Порт иточника 68=BOOTPC - Bootstrap Protocol Client
Порт получателя 67=BOOTPS - Bootstrap Protocol Server
Протокол 17
Пакетов 42903
Байт 25177432

Я подумываю тож снифер поставить. Или можно логом iptables обойтись?

JAO · Сообщение **JAO** » Вт авг 11, 2009 17:14

Какого-то клиента сильно клинит. Либо это вирусный флуд. В любом случае вычислить его источник можно только по MAC адресу, IP адрес 0.0.0.0 никому ничего не скажет. Поэтому лог iptables, думаю, не в помощь, лучше tcpdump.

Chris · Сообщение **Chris** » Вт авг 11, 2009 18:50

dhcpd/bootpd это

ds · Сообщение ds » Вт авг 11, 2009 19:50

Chris писал(а):dhcpd/bootpd это

Похоже, только запросов многовато как то. IP динамически выдаются? dhcp relay?

Groggy · Сообщение **Groggy** » Пт авг 14, 2009 11:40

Нет. IP адреса известным мне компам назначены статиком.
Но в сеть включены еще и некие приборы физическое расположение которых не вполне известно (сеть досталась "в наследство"

) и сама топология сети тоже...

Ладно всем спасибо бум искать подлеца...