Controlar problemas por trafico arp

[Miguel Angel Amador L]

On 8/17/05, Carlos Mario Mora (c4y0) <c4y0 en yahoo.com.mx> wrote:
> Hola!
> 
> Tengo un proxy con linux en una red windows.  Ultimamente se esta
> detectando demasiado trafico en la red.  Reviso un poco con snort, y veo
> demasiado trafico ARP.  La congestion esta llegando al punto tal que la
> red esta casi que colapsando (la salida a internet es casi nula.).
 
> Como puedo controlar esto en el servidor?  La una forma de que el
> servidor pueda conectarse a internet (por ejemplo si necesito
> configurarlo remotamente), es desactivando la interfaz de la red local
> (lo cual no es muy practico para un proxy :-S ).
> 
> Que me recomiendan?
> 
> Gracias por su ayuda.
> __________________________________________________
> Correo Yahoo!
> Espacio para todos tus mensajes, antivirus y antispam ¡gratis!
> Regístrate ya - http://correo.yahoo.com.mx/
> 

Como sabes que es el trafico ARP es el que te esta generando
problemas? , mucho trafico no significa "congestion" de la Red,
 Exceso de trafico ARP puede generar que las tablas de los Switch se
rebalsen dejando que estos funcionen como Hub's, y esto pasa a veces
cuando pones un sniffer en la red, o cuando tienes un troyano/gusano.
 Ciertos router (en especial D-Link o router cisco menores) se
congestionan o bloquean cuando tienen mucho trafico anomalo
(SYN_FLOOD/ ARP_FLOOD), siendo la solucion resetearlos.
 Si tienes una red con switch administrables, te diria que vieras por
ahi como controlar el trafico ARP, o que vieras si no tienes algun
engendro de worm/trojans generandote trafico anomalo por ahi.
 En mi experiencia, el 90% de los casos de ese estilo ha sido algun
Worms/Trojano/Spyware/*Bot que anda dando vuelta en una maquina
windows, instalate un sniffer y mira de donde provienen los paquetes o
si los switch son administrables, revisa el trafico de las puertas.
 
 Saludos

-- 
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]