Como detectar broadcast
Sebastián Veloso Varas
sveloso en sevelv.cl
Sab Mar 21 14:19:41 CLT 2009
Vida Luz Arista escribió:
> Hola a todos,
>
>
>
> Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
> problema porque distribuimos el tráfico hacia varias recintos de una
> universidad, sin embargo en determinado momento se dispara el trafico
> entrante y se vuelve lento todo, configuramos uno de los puertos del switch
> como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
> summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
> no hemos encontrado la manera de saber que IP generan ese broadcast, asi
> mismo el NTOP consume mucha memoria y a cada momento se detiene.
>
>
>
> Agradecería cualquier sugerencia.
>
>
>
> Saludos,
>
> “La Vida”
>
>
>
Hola Vida,
Utiliza primero que todo un buen sniffer para analizar el trafico
saliente de tu red (un port mirror solamente) y directamente el sniffer
.. ¿Cual? Sniffer Pro de Network Associates, Wireshark....los utilizo
bastante. Puede darte alguna pista de donde se esta originando ese
trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej
10.20.0.255 no te asustes, también verás un origen y la cantidad de
trafico que genera ;). Debe existir algun equipo infectado o un problema
hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad.
Mira, como efecto preventivo puedes limitar el rate de trafico de
difusion, con storm-control de Cisco. Ahi puedes especificar que haga un
logueo, notifique, descarte el trafico excesivo de difusion o
simplemente baje la interfaz.
En la interfaz de tu enlace, aplicas el control y podras evitar
excesivos traficos.
Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento
Cisco :
http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14
Esto si bien calmará el problema, la raíz de tu problema esta en tu red.
Saludos, Sebastián
Más información sobre la lista de distribución Linux