Donde se consigue un demo de Sniffer Pro ? Gracias
Jesus Rudas Simmonds -----Mensaje original----- De: linux-boun...@listas.inf.utfsm.cl [mailto:linux-boun...@listas.inf.utfsm.cl] En nombre de Sebastián Veloso Varas Enviado el: Sábado, 21 de Marzo de 2009 01:20 PM Para: Discusion de Linux en Castellano Asunto: Re: Como detectar broadcast Vida Luz Arista escribió: > Hola a todos, > > > > Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, > tenemos un problema porque distribuimos el tráfico hacia varias > recintos de una universidad, sin embargo en determinado momento se > dispara el trafico entrante y se vuelve lento todo, configuramos uno > de los puertos del switch como monitor port, y redirigimos el tráfico > hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con > el 29%, el problema es que en el NTOP no hemos encontrado la manera de > saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. > > > > Agradecería cualquier sugerencia. > > > > Saludos, > > La Vida > > > Hola Vida, Utiliza primero que todo un buen sniffer para analizar el trafico saliente de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual? Sniffer Pro de Network Associates, Wireshark....los utilizo bastante. Puede darte alguna pista de donde se esta originando ese trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico que genera ;). Debe existir algun equipo infectado o un problema hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad. Mira, como efecto preventivo puedes limitar el rate de trafico de difusion, con storm-control de Cisco. Ahi puedes especificar que haga un logueo, notifique, descarte el trafico excesivo de difusion o simplemente baje la interfaz. En la interfaz de tu enlace, aplicas el control y podras evitar excesivos traficos. Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco : http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14 Esto si bien calmará el problema, la raíz de tu problema esta en tu red. Saludos, Sebastián