[GTER] RES: RES: Dúvida com Gratuitous ARP

Rejaine Monteiro rejaine at bhz.jamef.com.br
Fri Jun 11 17:25:18 -03 2010 

Estou desconfiando de mac clonado ou duplicado...
Rodei o tcdump e wireshark.. Todas as requisições ARP para o endereço
192.168.30.32 registram o mesmo MAC
Esse MAC é correspondente a uma máquina na minha rede interna,
configurado com um endereço da minha subnet e não o 192.168.30.32
Pedi para desligarem essa máquina, reiniciei os switches, depois rodei o
wireshark (com a tal maquina ainda desligada) e as requisições
continuaram e acontecer , para o mesmo mac!

Alguma dica??

Rubens Kuhl escreveu:
> O comportamento descrito pelo Toledo se chama proxy-arp, que é ligado
> por default em diversos equipamentos, incluindo mas não apenas os do
> fabricante abaixo:
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml
>
>
> Rubens
>
>
> 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>   
>> Olá Luis,
>>
>> Bom interessante  sua colocação...
>>
>> Não cheguei a testar com o roteador desconectado da rede  porque estou
>> fazendo o acesso remoto, pois o problema está ocorrendo em uma unidade
>> diferente de onde estou, portanto preciso dele para fazer os testes...
>>
>> Fiz o teste dando um arping em qualquer outro IP fora da nossa faixa de
>> IPs  e o roteador  responde.
>> Mas será que isso não  pode  ocorrer justamente por ele ser o gateway
>> default  ? Nesse caso, não estaria nada fora do normal...
>>
>> Confirmam ?
>>
>>
>> Toledo, Luis Carlos escreveu:
>>     
>>> Fez os mesmos testes com os roteadore(s) desconectados fisicamente da rede?
>>>
>>> Eu tive um problema parecido, onde o roteador respondia qq IP que fosse
>>> perguntado o ARP. O que causava um "ARP poising" na rede, que ia ficando
>>> lenta até quase parar.
>>>
>>> Trocamos o roteador e reforçamos a segurança do novo, pois entendemos que o
>>> antigo roteador por algum motivo estava comprometido.
>>>
>>> Abs
>>>
>>>
>>>       
>>>> Não temos acesso aos roteadores, no entanto possuimos acesso
>>>> a monitoramento via SNMP .
>>>> Pelo que consta (pelo menos a parte que consigo visualizar
>>>> pela comunity "public",  não consta esse IP atribuído a
>>>> nenhuma das interfaces em nenhum dos dois roteadores.
>>>>
>>>> Toledo, Luis Carlos escreveu:
>>>>
>>>>         
>>>>>> Sendo assim, não É justificavel que  a causa do problema da
>>>>>> sobrecarga da CPU esteja sendo provocado por um acesso interno, ou
>>>>>> seja, de dentro da nossa rede, conforme indicado pelo
>>>>>>
>>>>>>             
>>>> técnico que nos
>>>>
>>>>         
>>>>>> atendeu, correto?
>>>>>>
>>>>>>
>>>>>>
>>>>>>             
>>>>> Vc tem gerência desses roteadores? Verificou se está
>>>>>
>>>>>           
>>>> atribuido esse ip
>>>>
>>>>         
>>>>> suspeito a uma de suas interfaces?
>>>>>
>>>>>
>>>>>
>>>>>           
>>>       
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>

More information about the gter mailing list