Коротко — действуйте через шлюз (keenetic) и WAN‑интерфейс провайдера: там видно, что именно уходит наружу. План действий и команды:
1) Подтвердить и посчитать пакеты на WAN:
- Захват на интерфейсе WAN:
tcpdump -nn -i 'dst net $224.0.0.0/4$' -c $1000$ -w /tmp/mcast.pcap
- Быстрая проверка в консоли (без файла):
tcpdump -nn -i 'dst net $224.0.0.0/4$' -c $200$
2) Определить исходные IP/порт(ы) в захвате:
- Посчитать пакеты по src IP:
tshark -r /tmp/mcast.pcap -T fields -e ip.src | sort | uniq -c | sort -nr
(или: tcpdump -nn -r /tmp/mcast.pcap | awk '{print $3}' | cut -d. -f1-4 | sort | uniq -c | sort -nr)
3) Если пакеты NAT‑ятся — найти внутренний хост на роутере:
- Посмотреть таблицу conntrack / nat:
conntrack -L | grep '224\.'
(или) iptables -t nat -L -v -n и netstat/conntrack для соответствующих портов
- На роутере/свитче посмотреть таблицу ARP/MAC → IP и сопоставить MAC порту.
4) Если не видно на WAN — зеркалирование порта / span:
- Подключите порт‑mirroring на свитче (если есть) и снимите трафик с управляющего ПК/Wireshark.
5) Проверить тип трафика и типовые источники:
- Фильтры tcpdump для известных служб:
SSDP: 'udp and dst host $\mathrm{239.255.255.250}$ and port $1900$'
mDNS: 'udp and dst host $\mathrm{224.0.0.251}$ and port $5353$'
Общая проверка IGMP: 'ip proto $2$'
- Частые виновники: IP‑камеры, приставки/IPTV, медиасерверы, мобильные приложения, Windows/Bonjour/SSDP, Docker/VM, UPnP/IGMP proxy на роутере.
6) Локализация по устройствам:
- На подозрительном хосте:
Linux: sudo ss -uap; sudo lsof -i UDP; sudo tcpdump -i any 'dst net $224.0.0.0/4$'
Windows: netsh interface ipv4 show joins; netstat -ano | findstr /I udp
- Если много устройств — отключайте по очереди (или выключайте Wi‑Fi/Gigabit‑порт) пока проблема не пропадёт.
7) Быстрая защита (на роутере) — блок/лимит на WAN:
- Полный drop мультикаст на форварде к WAN:
iptables -I FORWARD -d $224.0.0.0/4$ -j DROP
- Или лимит по скорости (пример hashlimit):
iptables -I FORWARD -p udp -d $224.0.0.0/4$ -m hashlimit --hashlimit-name mcast --hashlimit-above $500$/sec --hashlimit-mode srcip --hashlimit-srcmask $32$ -j DROP
(подкорректируйте значения лимита под вашу ситуацию)
8) Настройки Keenetic — что проверить и отключить:
- Отключить IGMP Proxy / Multicast Routing / IGMP snooping, если не требуется.
- Отключить UPnP/SSDP/мостирование медиаприложений.
- Проверить правила NAT/маршрутизации на переадресацию multicast на WAN.
9) Если нужно очень быстро — изолировать сеть:
- Разбить сеть на VLAN или временно отключить Wi‑Fi; отдать доступ в интернет только нужным устройствам.
Дополнительно:
- Провайдер сказал про ~$27000$ пак/сек — это очень много; если на роутере вы видите такую же нагрузку на WAN, ищите внутренний источник по NAT/conntrack и по MAC→порт.
- Если вы не можете найти источник — временно примените firewall‑drop на роутере и подряд тестируйте, отключая группы устройств.
Если хотите, пришлите выводы tcpdump/tshark (несколько строк с src/dst/портами) — помогу интерпретировать и подсказать точную iptables‑правилу.