Como detectar broadcast

Sebastián Veloso Varas sveloso en sevelv.cl
Sab Mar 21 17:42:09 CLT 2009 

Pedro GM escribió:
> El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:
>   
>> Hola a todos,
>>
>>  
>>
>> Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
>> problema porque distribuimos el tráfico hacia varias recintos de una
>> universidad, sin embargo en determinado momento se dispara el trafico
>> entrante y se vuelve lento todo, configuramos uno de los puertos del switch
>> como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
>> summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
>> no hemos encontrado la manera de saber que IP generan ese broadcast, asi
>> mismo el NTOP consume mucha memoria y a cada momento se detiene.
>>
>>  
>>
>> Agradecería cualquier sugerencia.
>>
>>  
>>
>> Saludos,
>>
>> “La Vida”
>>
>>     
> Ntop tiene una opcion "-l"  con esta lo que va capturando se guarda en
> un archivo con el formato .pcap, entonces lo puedes analizar
> posteriormente con algun analizador de protocolos compatible con libpcap
> como tcpdump o wireshark (este ulimo tiene interfaz grafica).
>
>   
Sip, pero es mucho más detallista Wireshark para sus cosas.
> De esta forma puedes analizar mas en calma los datos de la encapsulacion
> de los paquetes de broadcast para poder llegar a observar una ip de
> origen o una mac de origen (que te podria llevar al switch que esta
> propagando el broadcast, observando con los comandos show del 3550 a que
> puerto esta asociado esa mac de origen). también notaras si hay algun
> servicio de aplicación involucrado en esto y te pueda dar mas pistas.
>
>   
Estoy seguro que el problema es un equipo generando trafico en la red 
con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP 
entre otros) o sino ya un loop de red ... algo que debiese ser 
controlado por switching. Yo he tenido varios dolores de cabeza por 
estas causas. La idea es hacer un levantamiento desde lo fisico hasta la 
aplicacion, distinguir las capas de acceso, distribuicion y core en tu 
red (si es que las posees claramente identificadas) para solucionar tu 
problema.
> Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
> origen del broadcast.
>
> La solución del storm control es buena pero es muy util que encuentres
> desde donde vienen esos broadcast.
>
>   
Claramente esta es una solución del tipo "aspirina para el dolor de 
cabeza" .... .Son utiles para entender la naturaleza y solucion de la 
problemática y calmar el momento.
> suerte.
>
>

Más información sobre la lista de distribución Linux