Como detectar broadcast

Pedro GM saxeusgm en gmail.com
Sab Mar 21 16:39:02 CLT 2009


El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:
> Hola a todos,
> 
>  
> 
> Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
> problema porque distribuimos el tráfico hacia varias recintos de una
> universidad, sin embargo en determinado momento se dispara el trafico
> entrante y se vuelve lento todo, configuramos uno de los puertos del switch
> como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
> summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
> no hemos encontrado la manera de saber que IP generan ese broadcast, asi
> mismo el NTOP consume mucha memoria y a cada momento se detiene.
> 
>  
> 
> Agradecería cualquier sugerencia.
> 
>  
> 
> Saludos,
> 
> “La Vida”
> 
Ntop tiene una opcion "-l"  con esta lo que va capturando se guarda en
un archivo con el formato .pcap, entonces lo puedes analizar
posteriormente con algun analizador de protocolos compatible con libpcap
como tcpdump o wireshark (este ulimo tiene interfaz grafica).

De esta forma puedes analizar mas en calma los datos de la encapsulacion
de los paquetes de broadcast para poder llegar a observar una ip de
origen o una mac de origen (que te podria llevar al switch que esta
propagando el broadcast, observando con los comandos show del 3550 a que
puerto esta asociado esa mac de origen). también notaras si hay algun
servicio de aplicación involucrado en esto y te pueda dar mas pistas.

Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
origen del broadcast.

La solución del storm control es buena pero es muy util que encuentres
desde donde vienen esos broadcast.

suerte.

-- 
::Pedro::GM::
User #397462
http://counter.li.org




Más información sobre la lista de distribución Linux