Como detectar broadcast

[Sebastián Veloso Varas]

Vida Luz Arista escribió:
> Hola a todos,
>
>  
>
> Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
> problema porque distribuimos el tráfico hacia varias recintos de una
> universidad, sin embargo en determinado momento se dispara el trafico
> entrante y se vuelve lento todo, configuramos uno de los puertos del switch
> como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
> summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
> no hemos encontrado la manera de saber que IP generan ese broadcast, asi
> mismo el NTOP consume mucha memoria y a cada momento se detiene.
>
>  
>
> Agradecería cualquier sugerencia.
>
>  
>
> Saludos,
>
> “La Vida”
>
>
>   

Hola Vida,

Utiliza primero que todo un buen sniffer para analizar el trafico 
saliente de tu red (un port mirror solamente) y directamente el sniffer 
.. ¿Cual? Sniffer Pro de Network Associates, Wireshark....los utilizo 
bastante. Puede darte alguna pista de donde se esta originando ese 
trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 
10.20.0.255 no te asustes, también verás un origen y la cantidad de 
trafico que genera ;). Debe existir algun equipo infectado o un problema 
hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad.

Mira, como efecto preventivo puedes limitar el rate de trafico de 
difusion, con storm-control de Cisco. Ahi puedes especificar que haga un 
logueo, notifique, descarte el trafico excesivo de difusion o 
simplemente baje la interfaz.

En la interfaz de tu enlace, aplicas el control y podras evitar 
excesivos traficos.

Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento 
Cisco : 
http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14

Esto si bien calmará el problema, la raíz de tu problema esta en tu red.


Saludos, Sebastián