RE: Como detectar broadcast

2009-03-24 Por tema Jesus Rudas Simmonds
Donde se consigue un demo de Sniffer Pro ?

Gracias

Jesus Rudas Simmonds 

-Mensaje original-
De: linux-boun...@listas.inf.utfsm.cl
[mailto:linux-boun...@listas.inf.utfsm.cl] En nombre de Sebastián Veloso
Varas
Enviado el: Sábado, 21 de Marzo de 2009 01:20 PM
Para: Discusion de Linux en Castellano
Asunto: Re: Como detectar broadcast

Vida Luz Arista escribió:
 Hola a todos,

  

 Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, 
 tenemos un problema porque distribuimos el tráfico hacia varias 
 recintos de una universidad, sin embargo en determinado momento se 
 dispara el trafico entrante y se vuelve lento todo, configuramos uno 
 de los puertos del switch como monitor port, y redirigimos el tráfico 
 hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con 
 el 29%, el problema es que en el NTOP no hemos encontrado la manera de 
 saber que IP generan ese broadcast, asi mismo el NTOP consume mucha
memoria y a cada momento se detiene.

  

 Agradecería cualquier sugerencia.

  

 Saludos,

 “La Vida”


   

Hola Vida,

Utiliza primero que todo un buen sniffer para analizar el trafico saliente
de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual?
Sniffer Pro de Network Associates, Wiresharklos utilizo bastante. Puede
darte alguna pista de donde se esta originando ese trafico innecesario. Si
ves trafico del tipo 255.255.255.255 ó p.ej
10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico
que genera ;). Debe existir algun equipo infectado o un problema hasta de
red (bucles, ataques, spoofing) que debes detectar a la brevedad.

Mira, como efecto preventivo puedes limitar el rate de trafico de difusion,
con storm-control de Cisco. Ahi puedes especificar que haga un logueo,
notifique, descarte el trafico excesivo de difusion o simplemente baje la
interfaz.

En la interfaz de tu enlace, aplicas el control y podras evitar excesivos
traficos.

Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco
: 
http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14

Esto si bien calmará el problema, la raíz de tu problema esta en tu red.


Saludos, Sebastián








Re: Como detectar broadcast

2009-03-24 Por tema Rolando Mota
El 22 de marzo de 2009 12:19, Alberto Araya Rojas 
alberto.arayaro...@gmail.com escribió:

  Hola a todos,
 
 
 
  Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos
 un
  problema porque distribuimos el tráfico hacia varias recintos de una
  universidad, sin embargo en determinado momento se dispara el trafico
  entrante y se vuelve lento todo, configuramos uno de los puertos del
 switch
  como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en
 le
  summary del NTOP sale un broadcast con el 29%, el problema es que en el
  NTOP
  no hemos encontrado la manera de saber que IP generan ese broadcast, asi
  mismo el NTOP consume mucha memoria y a cada momento se detiene.
 
 
 
  Agradecería cualquier sugerencia.
 
 
 
  Saludos,
 
  “La Vida”
 
 
 el broadcast lo genera la ultima ip  de un segmento de red (por ej: /24 ),
 para que se entienda altiro la ipaddr x.x.x.255, por lo tanto,
 no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco
 sabemos
 si puedan existir otros dominios de broadcast ó dominios de colisión,
 habla con gente ccna,

 salu2 paya.

 Exacto cumpa
 no necesariamente tienes que usar el linux
 en los switch cisco existe un comando llamado show que lo asoscias a una
 interface y te muestra el detalle de lo que ha pasado por esa interface,
 cantidad de errores, broadcast etc..., solo tienes que leer atentamente
 porque muestra muchas cosas mas que no vienen al caso.
 ej:

 show interface fastethernet 0/1


 pd: todo en el modo provilegiado, donde sale por ej. Switch#

 --
 Atte
 Alberto Araya


:-)

-- 
barbud...@gmail.com


Re: Como detectar broadcast

2009-03-22 Por tema Hector Gatica M.
On Sat, 21 Mar 2009 10:04:53 -0600, Vida Luz Arista
vida.ari...@ideay.net.ni wrote:
 Hola a todos,
 
  
 
 Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos
un
 problema porque distribuimos el tráfico hacia varias recintos de una
 universidad, sin embargo en determinado momento se dispara el trafico
 entrante y se vuelve lento todo, configuramos uno de los puertos del
switch
 como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en
le
 summary del NTOP sale un broadcast con el 29%, el problema es que en el
 NTOP
 no hemos encontrado la manera de saber que IP generan ese broadcast, asi
 mismo el NTOP consume mucha memoria y a cada momento se detiene.
 
  
 
 Agradecería cualquier sugerencia.
 
  
 
 Saludos,
 
 “La Vida”

Hola , podrías dar más datos de tu red aguas abajo ya que ciertamente
deja muchas dudas.

1.- Tienes creadas vlan's para administrar el enlace ? , no estarás
mezclando peras con manzanas (users con enlace por ej) ?
(Bastaria un ocioso con un cable conectadas las 2 puntas en el mismo switch
aguas abajo para generar problemas).

2.- Estas ocupando mas switch con STP en la red ? , STP deberia parar una
tormenta de broadcast en el caso que tengas varios switch interconectados.
3.- Los equipos clientes me imagino llegan a un router , desde esa puerta
de enlace no puedes sniffear el trafico ? , probablemente podrian ser
equipos infectados generando trafico saliente. 

Si tienes la topologia de red ordenada , puedes ver el trafico incluso de
cada puerta del switch con lo que te darias cuenta desde que vlan se esta
generando mas trafico y empezar a hilar mas fino, si no ... uff. En un
escenario real e ideal, cada ip del enlace deberia estar con algo capa 3
para segmentar los dominios de colision.  

Saludos.

-- 
Ingeniero de Proyectos
OpenSynapse
Tel.: 41-2890134
Móvil: 9-1523359




Re: Como detectar broadcast

2009-03-22 Por tema Alberto Araya Rojas
 Hola a todos,



 Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos
un
 problema porque distribuimos el tráfico hacia varias recintos de una
 universidad, sin embargo en determinado momento se dispara el trafico
 entrante y se vuelve lento todo, configuramos uno de los puertos del
switch
 como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
 summary del NTOP sale un broadcast con el 29%, el problema es que en el
 NTOP
 no hemos encontrado la manera de saber que IP generan ese broadcast, asi
 mismo el NTOP consume mucha memoria y a cada momento se detiene.



 Agradecería cualquier sugerencia.



 Saludos,

 “La Vida”


el broadcast lo genera la ultima ip  de un segmento de red (por ej: /24 ),
para que se entienda altiro la ipaddr x.x.x.255, por lo tanto,
no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco
sabemos
si puedan existir otros dominios de broadcast ó dominios de colisión,
habla con gente ccna,

salu2 paya.

Exacto cumpa
no necesariamente tienes que usar el linux
en los switch cisco existe un comando llamado show que lo asoscias a una
interface y te muestra el detalle de lo que ha pasado por esa interface,
cantidad de errores, broadcast etc..., solo tienes que leer atentamente
porque muestra muchas cosas mas que no vienen al caso.
ej:

show interface fastethernet 0/1


pd: todo en el modo provilegiado, donde sale por ej. Switch#

-- 
Atte
Alberto Araya


Re: Como detectar broadcast

2009-03-22 Por tema Michael Ibarra
Hola prueba los siguientes comandos:

S#show runnning-config - aca puedes ver la configuracion activa del switch y
de sus interfaces.
S#show debug -  te sale buenas opciones para depurar problemas, como STP,
interfaces, etc.
Prueba esto:
http://en.wikipedia.org/wiki/Port_mirroring
para poner un buen sniffer..  Por experiencia si tienes un streaming de
video, ipv6, o un printer puede ocasionar tormentas de broadcast.. no creo
que que tengas problemas de stp porque usualmente ya viene activado por
defecto.


El 22 de marzo de 2009 11:19, Alberto Araya Rojas 
alberto.arayaro...@gmail.com escribió:

  Hola a todos,
 
 
 
  Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos
 un
  problema porque distribuimos el tráfico hacia varias recintos de una
  universidad, sin embargo en determinado momento se dispara el trafico
  entrante y se vuelve lento todo, configuramos uno de los puertos del
 switch
  como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en
 le
  summary del NTOP sale un broadcast con el 29%, el problema es que en el
  NTOP
  no hemos encontrado la manera de saber que IP generan ese broadcast, asi
  mismo el NTOP consume mucha memoria y a cada momento se detiene.
 
 
 
  Agradecería cualquier sugerencia.
 
 
 
  Saludos,
 
  “La Vida”
 
 
 el broadcast lo genera la ultima ip  de un segmento de red (por ej: /24 ),
 para que se entienda altiro la ipaddr x.x.x.255, por lo tanto,
 no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco
 sabemos
 si puedan existir otros dominios de broadcast ó dominios de colisión,
 habla con gente ccna,

 salu2 paya.

 Exacto cumpa
 no necesariamente tienes que usar el linux
 en los switch cisco existe un comando llamado show que lo asoscias a una
 interface y te muestra el detalle de lo que ha pasado por esa interface,
 cantidad de errores, broadcast etc..., solo tienes que leer atentamente
 porque muestra muchas cosas mas que no vienen al caso.
 ej:

 show interface fastethernet 0/1


 pd: todo en el modo provilegiado, donde sale por ej. Switch#

 --
 Atte
 Alberto Araya




-- 
Michael Ibarra


Re: Como detectar broadcast

2009-03-21 Por tema Rolando Mota
El 21 de marzo de 2009 12:04, Vida Luz Arista
vida.ari...@ideay.net.niescribió:

 Hola a todos,



 Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
 problema porque distribuimos el tráfico hacia varias recintos de una
 universidad, sin embargo en determinado momento se dispara el trafico
 entrante y se vuelve lento todo, configuramos uno de los puertos del switch
 como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
 summary del NTOP sale un broadcast con el 29%, el problema es que en el
 NTOP
 no hemos encontrado la manera de saber que IP generan ese broadcast, asi
 mismo el NTOP consume mucha memoria y a cada momento se detiene.



 Agradecería cualquier sugerencia.



 Saludos,

 “La Vida”


el broadcast lo genera la ultima ip  de un segmento de red (por ej: /24 ),
para que se entienda altiro la ipaddr x.x.x.255, por lo tanto,
no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco
sabemos
si puedan existir otros dominios de broadcast ó dominios de colisión,
habla con gente ccna,

salu2 paya.


-- 
barbud...@gmail.com


Re: Como detectar broadcast

2009-03-21 Por tema Sebastián Veloso Varas

Vida Luz Arista escribió:

Hola a todos,

 


Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
problema porque distribuimos el tráfico hacia varias recintos de una
universidad, sin embargo en determinado momento se dispara el trafico
entrante y se vuelve lento todo, configuramos uno de los puertos del switch
como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
no hemos encontrado la manera de saber que IP generan ese broadcast, asi
mismo el NTOP consume mucha memoria y a cada momento se detiene.

 


Agradecería cualquier sugerencia.

 


Saludos,

“La Vida”


  


Hola Vida,

Utiliza primero que todo un buen sniffer para analizar el trafico 
saliente de tu red (un port mirror solamente) y directamente el sniffer 
.. ¿Cual? Sniffer Pro de Network Associates, Wiresharklos utilizo 
bastante. Puede darte alguna pista de donde se esta originando ese 
trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 
10.20.0.255 no te asustes, también verás un origen y la cantidad de 
trafico que genera ;). Debe existir algun equipo infectado o un problema 
hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad.


Mira, como efecto preventivo puedes limitar el rate de trafico de 
difusion, con storm-control de Cisco. Ahi puedes especificar que haga un 
logueo, notifique, descarte el trafico excesivo de difusion o 
simplemente baje la interfaz.


En la interfaz de tu enlace, aplicas el control y podras evitar 
excesivos traficos.


Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento 
Cisco : 
http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14


Esto si bien calmará el problema, la raíz de tu problema esta en tu red.


Saludos, Sebastián







Re: Como detectar broadcast

2009-03-21 Por tema Pedro GM
El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:
 Hola a todos,
 
  
 
 Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
 problema porque distribuimos el tráfico hacia varias recintos de una
 universidad, sin embargo en determinado momento se dispara el trafico
 entrante y se vuelve lento todo, configuramos uno de los puertos del switch
 como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
 summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
 no hemos encontrado la manera de saber que IP generan ese broadcast, asi
 mismo el NTOP consume mucha memoria y a cada momento se detiene.
 
  
 
 Agradecería cualquier sugerencia.
 
  
 
 Saludos,
 
 “La Vida”
 
Ntop tiene una opcion -l  con esta lo que va capturando se guarda en
un archivo con el formato .pcap, entonces lo puedes analizar
posteriormente con algun analizador de protocolos compatible con libpcap
como tcpdump o wireshark (este ulimo tiene interfaz grafica).

De esta forma puedes analizar mas en calma los datos de la encapsulacion
de los paquetes de broadcast para poder llegar a observar una ip de
origen o una mac de origen (que te podria llevar al switch que esta
propagando el broadcast, observando con los comandos show del 3550 a que
puerto esta asociado esa mac de origen). también notaras si hay algun
servicio de aplicación involucrado en esto y te pueda dar mas pistas.

Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
origen del broadcast.

La solución del storm control es buena pero es muy util que encuentres
desde donde vienen esos broadcast.

suerte.

-- 
::Pedro::GM::
User #397462
http://counter.li.org




Re: Como detectar broadcast

2009-03-21 Por tema Sebastián Veloso Varas

Pedro GM escribió:

El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:
  

Hola a todos,

 


Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
problema porque distribuimos el tráfico hacia varias recintos de una
universidad, sin embargo en determinado momento se dispara el trafico
entrante y se vuelve lento todo, configuramos uno de los puertos del switch
como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
no hemos encontrado la manera de saber que IP generan ese broadcast, asi
mismo el NTOP consume mucha memoria y a cada momento se detiene.

 


Agradecería cualquier sugerencia.

 


Saludos,

“La Vida”



Ntop tiene una opcion -l  con esta lo que va capturando se guarda en
un archivo con el formato .pcap, entonces lo puedes analizar
posteriormente con algun analizador de protocolos compatible con libpcap
como tcpdump o wireshark (este ulimo tiene interfaz grafica).

  

Sip, pero es mucho más detallista Wireshark para sus cosas.

De esta forma puedes analizar mas en calma los datos de la encapsulacion
de los paquetes de broadcast para poder llegar a observar una ip de
origen o una mac de origen (que te podria llevar al switch que esta
propagando el broadcast, observando con los comandos show del 3550 a que
puerto esta asociado esa mac de origen). también notaras si hay algun
servicio de aplicación involucrado en esto y te pueda dar mas pistas.

  
Estoy seguro que el problema es un equipo generando trafico en la red 
con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP 
entre otros) o sino ya un loop de red ... algo que debiese ser 
controlado por switching. Yo he tenido varios dolores de cabeza por 
estas causas. La idea es hacer un levantamiento desde lo fisico hasta la 
aplicacion, distinguir las capas de acceso, distribuicion y core en tu 
red (si es que las posees claramente identificadas) para solucionar tu 
problema.

Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
origen del broadcast.

La solución del storm control es buena pero es muy util que encuentres
desde donde vienen esos broadcast.

  
Claramente esta es una solución del tipo aspirina para el dolor de 
cabeza  .Son utiles para entender la naturaleza y solucion de la 
problemática y calmar el momento.

suerte.

  


Re: Como detectar broadcast

2009-03-21 Por tema Pedro GM
El sáb, 21-03-2009 a las 17:42 -0400, Sebastián Veloso Varas escribió:
 Pedro GM escribió:
  El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:

  Hola a todos,
 
   
 
  Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
  problema porque distribuimos el tráfico hacia varias recintos de una
  universidad, sin embargo en determinado momento se dispara el trafico
  entrante y se vuelve lento todo, configuramos uno de los puertos del switch
  como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
  summary del NTOP sale un broadcast con el 29%, el problema es que en el 
  NTOP
  no hemos encontrado la manera de saber que IP generan ese broadcast, asi
  mismo el NTOP consume mucha memoria y a cada momento se detiene.
 
   
 
  Agradecería cualquier sugerencia.
 
   
 
  Saludos,
 
  “La Vida”
 
  
  Ntop tiene una opcion -l  con esta lo que va capturando se guarda en
  un archivo con el formato .pcap, entonces lo puedes analizar
  posteriormente con algun analizador de protocolos compatible con libpcap
  como tcpdump o wireshark (este ulimo tiene interfaz grafica).
 

 Sip, pero es mucho más detallista Wireshark para sus cosas.

Cierto estoy de acuerdo con esa afirmacion, pero ella esta usando Ntop
por un tema de estadisticas y graficas del trafico, puede usar
ambos(ntop para las graficas y wireshark para analisis) ya que wireshark
es muy util para analizar en profundidad.

  De esta forma puedes analizar mas en calma los datos de la encapsulacion
  de los paquetes de broadcast para poder llegar a observar una ip de
  origen o una mac de origen (que te podria llevar al switch que esta
  propagando el broadcast, observando con los comandos show del 3550 a que
  puerto esta asociado esa mac de origen). también notaras si hay algun
  servicio de aplicación involucrado en esto y te pueda dar mas pistas.
 

 Estoy seguro que el problema es un equipo generando trafico en la red 
 con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP 
 entre otros) o sino ya un loop de red ... algo que debiese ser 
 controlado por switching. Yo he tenido varios dolores de cabeza por 
 estas causas. La idea es hacer un levantamiento desde lo fisico hasta la 
 aplicacion, distinguir las capas de acceso, distribuicion y core en tu 
 red (si es que las posees claramente identificadas) para solucionar tu 
 problema.

En mi experiencia es lo mas probable, hace poco tube un caso similar en
mi trabajo y eran unas estaciones(infectadas) que inundaban con trafico
a toda la lan y se generaban muchas solicitudes arp, una vez localizadas
las estaciones un simple netstat mostro mchos sockets abiertos.

Por otro lado si fuese una tormenta de broadcast entre switches, el
spanning-tree del 3550 lo habria detenido ya.
 
  Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
  origen del broadcast.
 
  La solución del storm control es buena pero es muy util que encuentres
  desde donde vienen esos broadcast.
 

 Claramente esta es una solución del tipo aspirina para el dolor de 
 cabeza  .Son utiles para entender la naturaleza y solucion de la 
 problemática y calmar el momento.
  suerte.
 

-- 
::Pedro::GM::
User #397462
http://counter.li.org




Re: Como detectar broadcast

2009-03-21 Por tema Sebastián Veloso Varas

Pedro GM escribió:

El sáb, 21-03-2009 a las 17:42 -0400, Sebastián Veloso Varas escribió:
  

Pedro GM escribió:


El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió:
  
  

Hola a todos,

 


Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un
problema porque distribuimos el tráfico hacia varias recintos de una
universidad, sin embargo en determinado momento se dispara el trafico
entrante y se vuelve lento todo, configuramos uno de los puertos del switch
como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le
summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP
no hemos encontrado la manera de saber que IP generan ese broadcast, asi
mismo el NTOP consume mucha memoria y a cada momento se detiene.

 


Agradecería cualquier sugerencia.

 


Saludos,

“La Vida”




Ntop tiene una opcion -l  con esta lo que va capturando se guarda en
un archivo con el formato .pcap, entonces lo puedes analizar
posteriormente con algun analizador de protocolos compatible con libpcap
como tcpdump o wireshark (este ulimo tiene interfaz grafica).

  
  

Sip, pero es mucho más detallista Wireshark para sus cosas.



Cierto estoy de acuerdo con esa afirmacion, pero ella esta usando Ntop
por un tema de estadisticas y graficas del trafico, puede usar
ambos(ntop para las graficas y wireshark para analisis) ya que wireshark
es muy util para analizar en profundidad.

  


Exacto. Graficamente es mucho mas practico un Ntop. Es por esto que 
tambien uso /en algunos casos/ el Sniffer Pro de la Network Associates 
para a veces mostrar graficas a clientes o informes. Tambien es valido 
lo que dices respecto a Ntop



De esta forma puedes analizar mas en calma los datos de la encapsulacion
de los paquetes de broadcast para poder llegar a observar una ip de
origen o una mac de origen (que te podria llevar al switch que esta
propagando el broadcast, observando con los comandos show del 3550 a que
puerto esta asociado esa mac de origen). también notaras si hay algun
servicio de aplicación involucrado en esto y te pueda dar mas pistas.

  
  
Estoy seguro que el problema es un equipo generando trafico en la red 
con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP 
entre otros) o sino ya un loop de red ... algo que debiese ser 
controlado por switching. Yo he tenido varios dolores de cabeza por 
estas causas. La idea es hacer un levantamiento desde lo fisico hasta la 
aplicacion, distinguir las capas de acceso, distribuicion y core en tu 
red (si es que las posees claramente identificadas) para solucionar tu 
problema.



En mi experiencia es lo mas probable, hace poco tube un caso similar en
mi trabajo y eran unas estaciones(infectadas) que inundaban con trafico
a toda la lan y se generaban muchas solicitudes arp, una vez localizadas
las estaciones un simple netstat mostro mchos sockets abiertos.

Por otro lado si fuese una tormenta de broadcast entre switches, el
spanning-tree del 3550 lo habria detenido ya.
  



Claro, respecto a tu comentario del 3550 pero estas tormentas en su 
mayoria a veces no pueden ser controladas por STP automaticamente ni por 
CLI (o sea entrar al Sw remotamente y verificar que esta pasando). 
Tampoco no tenemos claridad que este conectado directamente al Switch 
3550 (quizas haya un enjambre de hubs o switches en cascada, que se yo 
.. jejeje). A veces estos equipos simplemente se bloquean y hay que 
reiniciarlos y desconectar cables!!



 
  

Eso es lo que se me ocurre a primera instancia para ayudar a detectar el
origen del broadcast.

La solución del storm control es buena pero es muy util que encuentres
desde donde vienen esos broadcast.

  
  
Claramente esta es una solución del tipo aspirina para el dolor de 
cabeza  .Son utiles para entender la naturaleza y solucion de la 
problemática y calmar el momento.


suerte.