Como detectar broadcast
Pedro GM
saxeusgm en gmail.com
Sab Mar 21 16:39:02 CLT 2009
El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:
> Hola a todos,
>
>
>
> Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
> problema porque distribuimos el tráfico hacia varias recintos de una
> universidad, sin embargo en determinado momento se dispara el trafico
> entrante y se vuelve lento todo, configuramos uno de los puertos del switch
> como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
> summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
> no hemos encontrado la manera de saber que IP generan ese broadcast, asi
> mismo el NTOP consume mucha memoria y a cada momento se detiene.
>
>
>
> Agradecería cualquier sugerencia.
>
>
>
> Saludos,
>
> “La Vida”
>
Ntop tiene una opcion "-l" con esta lo que va capturando se guarda en
un archivo con el formato .pcap, entonces lo puedes analizar
posteriormente con algun analizador de protocolos compatible con libpcap
como tcpdump o wireshark (este ulimo tiene interfaz grafica).
De esta forma puedes analizar mas en calma los datos de la encapsulacion
de los paquetes de broadcast para poder llegar a observar una ip de
origen o una mac de origen (que te podria llevar al switch que esta
propagando el broadcast, observando con los comandos show del 3550 a que
puerto esta asociado esa mac de origen). también notaras si hay algun
servicio de aplicación involucrado en esto y te pueda dar mas pistas.
Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
origen del broadcast.
La solución del storm control es buena pero es muy util que encuentres
desde donde vienen esos broadcast.
suerte.
--
::Pedro::GM::
User #397462
http://counter.li.org
Más información sobre la lista de distribución Linux