ISPからの一方的なUDPトラフィック

先週から、ホームネットワークのISP側でUDPトラフィックが増加していることがわかりました。ソースと理由を特定できません。

トポロジに関する関連情報：

ISP->建物へのファイバー-> ISPのユーティリティキャビネット-> CAT6ケーブル-> Mikrotikルーター（ポートether1）->インターネット用PPPoEクライアント（mikrotikでも実行）

私が見ているトラフィックは、ISP側からのether1ポートにあります。私はこのポートをPPPoEにのみ使用していますが、トラフィックは別のもので、10Mbpsから500Mbpsの間で変動します。つまり、実際のインターネット利用とは無関係です。PPPoEクライアントを無効にしても（==私のインターネット）そこにあります。

宛先ポートには5000が表示され、UPnPに関連していることがわかりましたが、そのポートには表示されないはずです。

ether1トラフィック

上記のトラフィックのWiresharkサンプル（これをキャプチャするためにmikrotikパケットスニファを使用して、すべてのether1トラフィックをPCに簡単に転送しました）

この問題によるパフォーマンスの低下は見当たりませんが、その原因については興味があります。また、私はこのトラフィックの発信元でも宛先でもないので、なぜ私はこれを見るのですか？

どんな助けでも感謝します、ありがとう。

ISPはIPTVサービスも提供していますか？

これは、IPTVが顧客のSTB（セットトップボックス）に流れるように見えます。すべてが同じVLAN上にあり、ソースは異なるポートからのものですが、ヘッドエンドと宛先の1つまたはいくつかのIPからはさまざまなIP上にありますが、常に同じポート上にあります。

顧客がチャネルを選択すると、STBはマルチキャスト参加要求を送信し、地下（ISPのキャビネット）のネットワーク機器がストリームを受け入れ、それを建物のローカルイーサネットネットワーク（ether1）に配信します。

27Mbitのこの1つはやや高速ですが、速度はほぼ正しいようです。約8Mビットは720pストリームに適しているようです。2〜4メガビットの低いレートは、おそらくSDストリームです。

これは間違いなく典型的なネットワーク構成ではないことを言わなければなりません。

サービスレベルに合わせて適切に設定する必要がある適切なCPEが必要です。IPTVサービスに料金を支払わない場合は、CPEをIPTV VLANに参加させないでください（id：103）。

また、ソースIPと宛先IPがパブリック範囲からのものであるのは適切ではありません。通常、ISPはSTBとヘッドエンドにプライベート範囲を使用します。ほとんどが10.xxxです。

Mikrotikルーターにはどのレベルのアクセスがありますか？そして、誰がルーターを提供しましたか？

ルーターの管理者がいる場合、IPTV VLANをイーサネットポートの1つにバインドし、ストリームを監視できます。

しかし、これはISPのネットワーク機器の何らかの構成ミスのように見えます。彼らがそれについて知ると、おそらく消えるでしょう。

これは、ワームが原因である可能性があります。

現在、2つの非常に異なるワームがポート5000スキャンの急速な増加に関与しています。最初の「Bobax」は、ポート5000を使用してWindows XPシステムを識別します。Windows XPは、「ユニバーサルプラグアンドプレイ（UPnP）」にポート5000（TCP）を使用します。デフォルトでは、UPnPは有効になっています。2番目のワーム「Kibuv」は、Windows XPのUPnP実装の古い脆弱性を使用してシステムを悪用します。この脆弱性はWindows XPで最初に発見されたものの1つであり、パッチが利用可能です。

参照：[1] https://isc.sans.edu/forums/diary/Port+5000+increase+due+to+two+worms+Bobax+and+Kibuv/198/