Deze broadcast storm werd veroorzaakt door een terminalserver van een klant, die naar alle machines binnen ons netwerk een UDP pakket stuurde met als afzender/ontvanger het IP-adres 0.0.0.0/255.255.255.255.
Door het dichtzetten van de poort waarvan de broadcast kwam kwam het netwerk geleidelijk weer terug (UDP blijft meestal nog wat naijlen). Onderzoek wees op een machine achter de gesloten poort, die op dat moment 80 Mbit/sec aan broadcast verkeer veroorzaakte.
Verder onderzoek naar de poorten van de broadcast wees uit dat het om DHCP verkeer gaat ( UDP 67/68) en dus niet om een aanval van binnen of buiten het netwerk. Deze informatie wijst er vooralsnog op dat de betreffende server niet over een juiste netwerkconfiguratie beschikt.
De klant is hierover geïnformeerd en neemt actie. |
