RE: Como detectar broadcast
Donde se consigue un demo de Sniffer Pro ? Gracias Jesus Rudas Simmonds -Mensaje original- De: linux-boun...@listas.inf.utfsm.cl [mailto:linux-boun...@listas.inf.utfsm.cl] En nombre de Sebastián Veloso Varas Enviado el: Sábado, 21 de Marzo de 2009 01:20 PM Para: Discusion de Linux en Castellano Asunto: Re: Como detectar broadcast Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, La Vida Hola Vida, Utiliza primero que todo un buen sniffer para analizar el trafico saliente de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual? Sniffer Pro de Network Associates, Wiresharklos utilizo bastante. Puede darte alguna pista de donde se esta originando ese trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico que genera ;). Debe existir algun equipo infectado o un problema hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad. Mira, como efecto preventivo puedes limitar el rate de trafico de difusion, con storm-control de Cisco. Ahi puedes especificar que haga un logueo, notifique, descarte el trafico excesivo de difusion o simplemente baje la interfaz. En la interfaz de tu enlace, aplicas el control y podras evitar excesivos traficos. Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco : http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14 Esto si bien calmará el problema, la raíz de tu problema esta en tu red. Saludos, Sebastián
Re: Como detectar broadcast
El 22 de marzo de 2009 12:19, Alberto Araya Rojas alberto.arayaro...@gmail.com escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” el broadcast lo genera la ultima ip de un segmento de red (por ej: /24 ), para que se entienda altiro la ipaddr x.x.x.255, por lo tanto, no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco sabemos si puedan existir otros dominios de broadcast ó dominios de colisión, habla con gente ccna, salu2 paya. Exacto cumpa no necesariamente tienes que usar el linux en los switch cisco existe un comando llamado show que lo asoscias a una interface y te muestra el detalle de lo que ha pasado por esa interface, cantidad de errores, broadcast etc..., solo tienes que leer atentamente porque muestra muchas cosas mas que no vienen al caso. ej: show interface fastethernet 0/1 pd: todo en el modo provilegiado, donde sale por ej. Switch# -- Atte Alberto Araya :-) -- barbud...@gmail.com
Re: Como detectar broadcast
On Sat, 21 Mar 2009 10:04:53 -0600, Vida Luz Arista vida.ari...@ideay.net.ni wrote: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, La Vida Hola , podrías dar más datos de tu red aguas abajo ya que ciertamente deja muchas dudas. 1.- Tienes creadas vlan's para administrar el enlace ? , no estarás mezclando peras con manzanas (users con enlace por ej) ? (Bastaria un ocioso con un cable conectadas las 2 puntas en el mismo switch aguas abajo para generar problemas). 2.- Estas ocupando mas switch con STP en la red ? , STP deberia parar una tormenta de broadcast en el caso que tengas varios switch interconectados. 3.- Los equipos clientes me imagino llegan a un router , desde esa puerta de enlace no puedes sniffear el trafico ? , probablemente podrian ser equipos infectados generando trafico saliente. Si tienes la topologia de red ordenada , puedes ver el trafico incluso de cada puerta del switch con lo que te darias cuenta desde que vlan se esta generando mas trafico y empezar a hilar mas fino, si no ... uff. En un escenario real e ideal, cada ip del enlace deberia estar con algo capa 3 para segmentar los dominios de colision. Saludos. -- Ingeniero de Proyectos OpenSynapse Tel.: 41-2890134 Móvil: 9-1523359
Re: Como detectar broadcast
Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” el broadcast lo genera la ultima ip de un segmento de red (por ej: /24 ), para que se entienda altiro la ipaddr x.x.x.255, por lo tanto, no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco sabemos si puedan existir otros dominios de broadcast ó dominios de colisión, habla con gente ccna, salu2 paya. Exacto cumpa no necesariamente tienes que usar el linux en los switch cisco existe un comando llamado show que lo asoscias a una interface y te muestra el detalle de lo que ha pasado por esa interface, cantidad de errores, broadcast etc..., solo tienes que leer atentamente porque muestra muchas cosas mas que no vienen al caso. ej: show interface fastethernet 0/1 pd: todo en el modo provilegiado, donde sale por ej. Switch# -- Atte Alberto Araya
Re: Como detectar broadcast
Hola prueba los siguientes comandos: S#show runnning-config - aca puedes ver la configuracion activa del switch y de sus interfaces. S#show debug - te sale buenas opciones para depurar problemas, como STP, interfaces, etc. Prueba esto: http://en.wikipedia.org/wiki/Port_mirroring para poner un buen sniffer.. Por experiencia si tienes un streaming de video, ipv6, o un printer puede ocasionar tormentas de broadcast.. no creo que que tengas problemas de stp porque usualmente ya viene activado por defecto. El 22 de marzo de 2009 11:19, Alberto Araya Rojas alberto.arayaro...@gmail.com escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” el broadcast lo genera la ultima ip de un segmento de red (por ej: /24 ), para que se entienda altiro la ipaddr x.x.x.255, por lo tanto, no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco sabemos si puedan existir otros dominios de broadcast ó dominios de colisión, habla con gente ccna, salu2 paya. Exacto cumpa no necesariamente tienes que usar el linux en los switch cisco existe un comando llamado show que lo asoscias a una interface y te muestra el detalle de lo que ha pasado por esa interface, cantidad de errores, broadcast etc..., solo tienes que leer atentamente porque muestra muchas cosas mas que no vienen al caso. ej: show interface fastethernet 0/1 pd: todo en el modo provilegiado, donde sale por ej. Switch# -- Atte Alberto Araya -- Michael Ibarra
Re: Como detectar broadcast
El 21 de marzo de 2009 12:04, Vida Luz Arista vida.ari...@ideay.net.niescribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” el broadcast lo genera la ultima ip de un segmento de red (por ej: /24 ), para que se entienda altiro la ipaddr x.x.x.255, por lo tanto, no sé que subredes tengan, pero te sugiero partir por ahi, ya que tampoco sabemos si puedan existir otros dominios de broadcast ó dominios de colisión, habla con gente ccna, salu2 paya. -- barbud...@gmail.com
Re: Como detectar broadcast
Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Hola Vida, Utiliza primero que todo un buen sniffer para analizar el trafico saliente de tu red (un port mirror solamente) y directamente el sniffer .. ¿Cual? Sniffer Pro de Network Associates, Wiresharklos utilizo bastante. Puede darte alguna pista de donde se esta originando ese trafico innecesario. Si ves trafico del tipo 255.255.255.255 ó p.ej 10.20.0.255 no te asustes, también verás un origen y la cantidad de trafico que genera ;). Debe existir algun equipo infectado o un problema hasta de red (bucles, ataques, spoofing) que debes detectar a la brevedad. Mira, como efecto preventivo puedes limitar el rate de trafico de difusion, con storm-control de Cisco. Ahi puedes especificar que haga un logueo, notifique, descarte el trafico excesivo de difusion o simplemente baje la interfaz. En la interfaz de tu enlace, aplicas el control y podras evitar excesivos traficos. Mas info acá. Hay tips utiles de seguridad en capa 2 para equipamiento Cisco : http://www.ccietalk.com/2008/05/27/port-based-traffic-control#more-14 Esto si bien calmará el problema, la raíz de tu problema esta en tu red. Saludos, Sebastián
Re: Como detectar broadcast
El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Ntop tiene una opcion -l con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica). De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. suerte. -- ::Pedro::GM:: User #397462 http://counter.li.org
Re: Como detectar broadcast
Pedro GM escribió: El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Ntop tiene una opcion -l con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica). Sip, pero es mucho más detallista Wireshark para sus cosas. De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Estoy seguro que el problema es un equipo generando trafico en la red con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP entre otros) o sino ya un loop de red ... algo que debiese ser controlado por switching. Yo he tenido varios dolores de cabeza por estas causas. La idea es hacer un levantamiento desde lo fisico hasta la aplicacion, distinguir las capas de acceso, distribuicion y core en tu red (si es que las posees claramente identificadas) para solucionar tu problema. Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. Claramente esta es una solución del tipo aspirina para el dolor de cabeza .Son utiles para entender la naturaleza y solucion de la problemática y calmar el momento. suerte.
Re: Como detectar broadcast
El sáb, 21-03-2009 a las 17:42 -0400, Sebastián Veloso Varas escribió: Pedro GM escribió: El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Ntop tiene una opcion -l con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica). Sip, pero es mucho más detallista Wireshark para sus cosas. Cierto estoy de acuerdo con esa afirmacion, pero ella esta usando Ntop por un tema de estadisticas y graficas del trafico, puede usar ambos(ntop para las graficas y wireshark para analisis) ya que wireshark es muy util para analizar en profundidad. De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Estoy seguro que el problema es un equipo generando trafico en la red con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP entre otros) o sino ya un loop de red ... algo que debiese ser controlado por switching. Yo he tenido varios dolores de cabeza por estas causas. La idea es hacer un levantamiento desde lo fisico hasta la aplicacion, distinguir las capas de acceso, distribuicion y core en tu red (si es que las posees claramente identificadas) para solucionar tu problema. En mi experiencia es lo mas probable, hace poco tube un caso similar en mi trabajo y eran unas estaciones(infectadas) que inundaban con trafico a toda la lan y se generaban muchas solicitudes arp, una vez localizadas las estaciones un simple netstat mostro mchos sockets abiertos. Por otro lado si fuese una tormenta de broadcast entre switches, el spanning-tree del 3550 lo habria detenido ya. Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. Claramente esta es una solución del tipo aspirina para el dolor de cabeza .Son utiles para entender la naturaleza y solucion de la problemática y calmar el momento. suerte. -- ::Pedro::GM:: User #397462 http://counter.li.org
Re: Como detectar broadcast
Pedro GM escribió: El sáb, 21-03-2009 a las 17:42 -0400, Sebastián Veloso Varas escribió: Pedro GM escribió: El sáb, 21-03-2009 a las 10:04 -0600, Vida Luz Arista escribió: Hola a todos, Actualmente tengo un enlace 12 MBps, este entra a un cisco 3550, tenemos un problema porque distribuimos el tráfico hacia varias recintos de una universidad, sin embargo en determinado momento se dispara el trafico entrante y se vuelve lento todo, configuramos uno de los puertos del switch como monitor port, y redirigimos el tráfico hacia un Linux con NTOP, en le summary del NTOP sale un broadcast con el 29%, el problema es que en el NTOP no hemos encontrado la manera de saber que IP generan ese broadcast, asi mismo el NTOP consume mucha memoria y a cada momento se detiene. Agradecería cualquier sugerencia. Saludos, “La Vida” Ntop tiene una opcion -l con esta lo que va capturando se guarda en un archivo con el formato .pcap, entonces lo puedes analizar posteriormente con algun analizador de protocolos compatible con libpcap como tcpdump o wireshark (este ulimo tiene interfaz grafica). Sip, pero es mucho más detallista Wireshark para sus cosas. Cierto estoy de acuerdo con esa afirmacion, pero ella esta usando Ntop por un tema de estadisticas y graficas del trafico, puede usar ambos(ntop para las graficas y wireshark para analisis) ya que wireshark es muy util para analizar en profundidad. Exacto. Graficamente es mucho mas practico un Ntop. Es por esto que tambien uso /en algunos casos/ el Sniffer Pro de la Network Associates para a veces mostrar graficas a clientes o informes. Tambien es valido lo que dices respecto a Ntop De esta forma puedes analizar mas en calma los datos de la encapsulacion de los paquetes de broadcast para poder llegar a observar una ip de origen o una mac de origen (que te podria llevar al switch que esta propagando el broadcast, observando con los comandos show del 3550 a que puerto esta asociado esa mac de origen). también notaras si hay algun servicio de aplicación involucrado en esto y te pueda dar mas pistas. Estoy seguro que el problema es un equipo generando trafico en la red con algún virus/troyano (que podría ocasionar ataques DoS, spoofing ARP entre otros) o sino ya un loop de red ... algo que debiese ser controlado por switching. Yo he tenido varios dolores de cabeza por estas causas. La idea es hacer un levantamiento desde lo fisico hasta la aplicacion, distinguir las capas de acceso, distribuicion y core en tu red (si es que las posees claramente identificadas) para solucionar tu problema. En mi experiencia es lo mas probable, hace poco tube un caso similar en mi trabajo y eran unas estaciones(infectadas) que inundaban con trafico a toda la lan y se generaban muchas solicitudes arp, una vez localizadas las estaciones un simple netstat mostro mchos sockets abiertos. Por otro lado si fuese una tormenta de broadcast entre switches, el spanning-tree del 3550 lo habria detenido ya. Claro, respecto a tu comentario del 3550 pero estas tormentas en su mayoria a veces no pueden ser controladas por STP automaticamente ni por CLI (o sea entrar al Sw remotamente y verificar que esta pasando). Tampoco no tenemos claridad que este conectado directamente al Switch 3550 (quizas haya un enjambre de hubs o switches en cascada, que se yo .. jejeje). A veces estos equipos simplemente se bloquean y hay que reiniciarlos y desconectar cables!! Eso es lo que se me ocurre a primera instancia para ayudar a detectar el origen del broadcast. La solución del storm control es buena pero es muy util que encuentres desde donde vienen esos broadcast. Claramente esta es una solución del tipo aspirina para el dolor de cabeza .Son utiles para entender la naturaleza y solucion de la problemática y calmar el momento. suerte.