Como detectar broadcast

Jesus Rudas Simmonds jrudass en gmail.com
Mar Mar 24 09:41:32 CLT 2009


Donde se consigue un demo de Sniffer Pro ?

Gracias

Jesus Rudas Simmonds 

-----Mensaje original-----
De: linux-bounces en listas.inf.utfsm.cl
[mailto:linux-bounces en listas.inf.utfsm.cl] En nombre de Sebastián Veloso
Varas
Enviado el: Sábado, 21 de Marzo de 2009 01:20 PM
Para: Discusion de Linux en Castellano
Asunto: Re: Como detectar broadcast

Vida Luz Arista escribió:
> Hola a todos,
>
>  
>
> Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, 
> tenemos un problema porque distribuimos el tráfico hacia varias 
> recintos de una universidad, sin embargo en determinado momento se 
> dispara el trafico entrante y se vuelve lento todo, configuramos uno 
> de los puertos del switch como monitor port, y redirigimos el tráfico 
> hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con 
> el 29%, el problema es que en el NTOP no hemos encontrado la manera de 
> saber que IP generan ese broadcast, asi mismo el NTOP consume mucha
memoria y a cada momento se detiene.
>
>  
>
> Agradecería cualquier sugerencia.
>
>  
>
> Saludos,
>
> “La Vida”
>
>
>   

Hola Vida,

Utiliza primero que todo un buen sniffer para analizar el trafico saliente
de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual?
Sniffer Pro de Network Associates, Wireshark....los utilizo bastante. Puede
darte alguna pista de donde se esta originando ese trafico innecesario. Si
ves trafico del tipo 255.255.255.255 ó p.ej
10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico
que genera ;). Debe existir algun equipo infectado o un problema hasta de
red (bucles, ataques, spoofing) que debes detectar a la brevedad.

Mira, como efecto preventivo puedes limitar el rate de trafico de difusion,
con storm-control de Cisco. Ahi puedes especificar que haga un logueo,
notifique, descarte el trafico excesivo de difusion o simplemente baje la
interfaz.

En la interfaz de tu enlace, aplicas el control y podras evitar excesivos
traficos.

Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco
: 
http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14

Esto si bien calmará el problema, la raíz de tu problema esta en tu red.


Saludos, Sebastián








Más información sobre la lista de distribución Linux