[RESOLVIDO] Trafego misterioso consumindo muita banda (up/down)



  • Boa tarde

    Temos um servidor DHCP/Dominio (172.x.x.x) e um servidor Proxy (não apresentado na imagem) aqui na instituição e recentemente notamos que o servidor DHCP/Dominio tem consumido muita banda tanto de up quanto de down e isto esta deixando a rede lenta para as demais estações.
    O estranho é que o protocolo apresentado é o DHCP tendo como origem o servidor e como destino o endereço de broadcast. Acredito eu que este trafego deveria ser normal, pois do endereço de broadcast o endereço deveria ser destinado a estação solicitante.

    O problema é que este trafego esta constante, todas as maquinas da rede possuem reserva DHCP, logo, depois de receber o endereço o trafego deveria parar, não?

    Como podemos observar na imagem, cada uma das requisições esta puxando quase 3Mb sendo que o nosso link possui 8Mb. O que estou achando estranho também é essa quantia de banda destinada a isto. Este trafego é local, logo, pq estaria utilizando toda esta banda para este serviço?

    Eu tentei bloquear este trafego mas nao obtive êxito, mesmo com as regras o trafego continuo. Na imagem em anexo a regra esta na interface WAN, porém, foi só um teste, eu criei ela na LAN tambem e o problema persistiu. Alguem sabe o que pode ser isto?





  • Você está monitorando a lan ou a wan? Esse tráfego interno não parece estar saindo do seu fw. Com relação a sua regra de bloqueio, ela precisa ficar na interface onde o tráfego começa. Normalmente a wan não tem ips 172 nem requisições de dhcp.



  • @marcelloc:

    Você está monitorando a lan ou a wan? Esse tráfego interno não parece estar saindo do seu fw. Com relação a sua regra de bloqueio, ela precisa ficar na interface onde o tráfego começa. Normalmente a wan não tem ips 172 nem requisições de dhcp.

    O endereço 172 é da minha rede local. A regra esta na interface LAN. O print foi uma ilustração e acabei nao mudando pra WAN mas atualmente esta na LAN.
    E sobre a monitoração… Se não esta saindo sabe o por que de estar tendo este consumo absurdo na banda?



  • @NewPR:

    E sobre a monitoração… Se não esta saindo sabe o por que de estar tendo este consumo absurdo na banda?

    Se não está saindo, não está consumindo seu link. é trafego local.



  • @marcelloc:

    @NewPR:

    E sobre a monitoração… Se não esta saindo sabe o por que de estar tendo este consumo absurdo na banda?

    Se não está saindo, não está consumindo seu link. é trafego local.

    Tens razão… Passei alguns dias monitorando a rede e vimos que este fluxo se refere a rede interna. Devido aos endereços e protocolos envolvidos parece ser do servidor DHCP distribuindo os IPs as estações. O que eu estranhava era sobre este fluxo continuar mesmo com as maquinas ja tendo IPs, mas temos dispositivos sem fio que vira e mexe se conectam na rede e talvez esta seja a explicação para o fluxo continuo.

    Alem disso, quanto a lentidão, encontramos a solução. As intefaces de rede do pfsense estavam atuando em rede /10 e por receber TODO o fluxo da rede para realizar a filtragem eu acredito que a rede estava atuando nesta misera velocidade. Nos horario de pico, como tinha muita maquina fazendo requisição a rede ficava uma porcaria e talvez isto tenha prejudicado até mesmo nos testes de conexão. Prova simples que me fez pensar nisso foi com os testes de ping...
    Para pingar meu gateway de saida (pfsense) chegava a ter responta com +800ms o que chega a ser absurdo visto que tais equipamentos se encontram na mesma rede e com poucos nós entre eles.
    A solução foi mexer no switch que conectava o firewall/proxy a rede. Agora a rede atua em /100 e a velocidade de conexão esta muito melhor. Os bloqueios estão funcionando bem e mesmo nos horários de pico chegamos a ter cerca de 5Mbps de banda disponível. Vlw  ;D