Доброго дня! Пару дней началась проблема, Rx канал WAN интерфейса загружен почти на 90% и постоянно, притом что на бридже нет такой-же загрузки, как такое может быть и как найти кто грузит канал ?

1Cники знают все тонкости настройки микротиков ?)

Попробуйте Tools - Torch

(2) пробовал, только толку, там указан внешний наш IP ну и откуда идут запросы, все IP разные. А на бридже когда смотришь там такой нагрузки нет, вот и не понятно. На WAN исходящий 45-49 мегабит, на бридже 9, куда остальное девается, не понятно.

(0) ломанули и используют как ботнет?
https://habr.com/ru/companies/selectel/articles/654467/
https://habr.com/ru/news/578418/

Есть такое приложение
https://www.netlimiter.com/
Оно показывает на уровне процессов исходящий и входящий трафик и по портам. Так же можно перекрыть поток этой утилитой.

(4) у микротика отключено все кроме WinBox, это раз, второе при переключении на второго проводного провайдера, все становится нормально. Ни 90% загрузки канала, ни разницы в скоростях на бридже и втором wan интерфейсе.

(6) Судя по всему ddos'ят по первому провайдеру
Возможно ТСПУ ложными пакетами спамит аля пассивный DPI

(7) звонил провайдеру, тех отдел связь "лежит", ответили менеджеры говорят из за блокировок youtube у них связь легла, но легла связь и 100% загрузка канала как по мне разные вещи...но от них большего и не получить.

(8) Походу я правильно написал в (7), тебе почти прямо сказали

(8) Почитай как работает пассивный DPI

Если кратко то походу из локальной сети много попыток зайти на заблокированные ТСПУ интернет ресурсы
Провайдер использует пассивный DPI - вперед реального ответа от сайта посылает ложный ответ
В итоге ложный ответ (малый) проходит на бридж, реальный ответ поступающий позже (большой) не проходит на бридж (почему не проходит вопрос к микротику)
Получается вот такая картинка

(11) и как провайдеру разруливать такую проблему ?

(12) Никак
Они сами заложники

(13) прекрасно ) даже добавить нечего.