Anormal du trafic DHCP du périphérique Android ne peut pas être identifié

Salut membres de la communauté Serverfault.

J'ai essayé d'identifier la source d'un trafic de diffusion anormal généré par certains appareils Android de Samsung sans succès, alors je request votre aide.

J'ai cette machine virtuelle pfSense fonctionnant au dessus d'un hôte VMware ESXi 5.1. Cette VM fonctionne comme une passerelle pour notre réseau WiFi. C'est la configuration générale de l'interface.

  • WAN: IP publique connectée directement à Internet (VLAN3).
  • LAN: IP interne utilisée pour passer aux services d'entreprise (VLAN 8).
  • OPT1: 172.20.0.0/23 pour étudiants wifi (VLAN 200)
  • OPT2: 172.21.0.0/23 pour les users internes wifi (vlan 201)
  • OPT3: 172.22.0.0/24 pour wifi invité (VLAN 202)
  • OPT4: 172.23.0.0/24 pour le réseau wifi polyvalent (VLAN 203)
  • OPT5: IP publique connectée directement à Internet (access WAN secondaire) (VLAN3)

OPT1-3 sont configurés avec une authentification de portail captive.

Récemment, nous avons remarqué que sur l'interface WAN périodiquement, une quantité anormale de trafic est présente, qui utilise environ 10 Mb / s de bande passante du lien Internet. En effectuant une capture de package directement avec Pfsence, nous constatons qu'un périphérique Android génère du trafic de diffusion pour DHCP avec le type de message "Boot Request". Vous pouvez download le file CAP à partir de là .

En analysant les packages que je peux dire.

  • Le trafic de diffusion a l'adresse MAC de l'interface WAN de pfSence comme source (00: 0c: 29: 44: 07: c6)
  • Diffusez si pour 192.168.0.0/24 segment IP, qui n'est pas défini sur notre LAN.
  • Le trafic est généré par un périphérique Android avec le nom d'hôte android-5049184d224de050 et l'adresse MAC f4: 09: d8: 2a: 19: 6e.
  • Le trafic correspond au message de request de démarrage DHCP.

Lorsque ce trafic est présent, il inonder le VLAN 3 avec un package de diffusion affectant un autre périphérique qui se connecte directement au lien Internet.

J'ai essayé de tracer les périphériques "fantômes" MAC sur notre LAN afin de l'identifier, mais parfois, le MAC n'apparaît même pas dans une table ARP. D'autres fois, j'ai pu le find connecté à un point d'access sur VLAN 201 (wifi d'users internes), mais bien qu'il ait une adresse IP 172.21.0.0/23, il n'est pas authentifié, donc je peux supposer que ce n'est pas un interne valide user.

Ce que j'ai trouvé vraiment étrange et ne comprend vraiment pas, c'est pourquoi ce trafic s'exécute sur une interface WAN apparemment générée par lui-même, mais c'est vraiment un périphérique connecté à l'interface OPT2 avec une IP différente que le trafic généré.

Ce que je veux vraiment savoir, c'est comprendre pourquoi cela se produit pour find une solution.

Tout conseil sera très apprécié. Merci d'avance.

Au revoir.

Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.