[caiu] RES: Globo.com via IX-SP
Eder F. Miotto
ederfmiotto em gmail.com
Qua Mar 8 22:58:58 BRT 2017
Fiz um lab simples aqui para gerar alguns dados pertinentes a grande
quantidade
de arp requests no PTT-SP.
Espelhei uma porta da conexão com o IX para uma interface giga do switch
(modo monitor,
sem interferência da porta para onde foi espelhado o tráfego) e conectei um
PC com Linux nela.
Depois rotei um tcpdump e capturei 100 mil pacotes arp (tcpdump -i eth0 -n
-p -c 100000 arp).
Os resultados da análise sobre os pacotes capturados (filtrando apenas os
pacotes who-has):
- 1698 hosts enviaram solicitações de arp-request
- média de 58,89 requisições por host
E o que eu mais estava curioso em saber!!!
- tosts que mais fizeram solicitações (top 20):
5446 187.16.219.52 [AS53045]
5225 187.16.220.75 [AS265068]
1935 187.16.223.115
1534 187.16.223.103
1381 187.16.218.66
1150 187.16.223.190
1096 187.16.218.249
805 187.16.217.29
766 187.16.217.51
709 187.16.223.217
694 187.16.222.19
540 187.16.220.156
527 187.16.223.31
519 187.16.222.75
438 187.16.221.240
421 187.16.221.75
386 187.16.217.57
360 187.16.223.14
346 187.16.222.55
339 187.16.216.127
Coluna 1 = Total de arp requests (who-has)
Coluna 2 = IP originador
Me dei o trabalho de consultar o ASN associados aos 2 primeiros IPs por que
estavam
muito destoante das demais requisições (embora os seguintes ainda tenham
uma quantidade
muito elevada de requições).
Alguma dica de por que tantos pacotes destas origens?
- tempo de cache arp muito baixo? (eu ajusto o arp timeout para 5 minutos
em meus clientes dentro do IX)
- algum vírus atrás do participante fazendo network target scan?
- outra?
Obs: captura realizada as 22:40 via PIX GVT JARDINS.
Eder
Em 8 de março de 2017 21:08, Gustavo Santos <gustkiller em gmail.com> escreveu:
> Normalmente em caixas menores como mx5 e mx104 , os limites de arp flood
> são bem baixos. Normalmente criando uma regra por interface resolve o
> problema. Já que isto da um "by-pass" na politica anti ddos padrão.
>
> Em 8 de março de 2017 19:45, Rafael Azevedo <rafael em iagente.com.br>
> escreveu:
>
> > Recentemente passamos pelo mesmo sintoma, mas para diferentes ASs
> > conectados no PTT-SP.
> >
> > No nosso caso, o Juniper não estava aguentando mais de 2.000 MAC
> ADDRESSes
> > na mesma caixa. Separamos os links em dois roteadores e parece que até
> > resolveu o problema.
> >
> >
> > *Rafael Azevedo | IAGENTE*
> > Visite: www.iagente.com.br
> > Apoie: Eu odeio SPAM <https://www.facebook.com/euodeiospam/>
> > Curta: Facebook <https://www.facebook.com/iagente>
> > Telefone: 4007-2564 ou (51) 3119-2600
> > iNOC-DBA: 52848*100
> >
> > Em 8 de março de 2017 16:41, Guilherme A. Monfré - Process Telecom <
> > guilherme em process.com.br> escreveu:
> >
> > > Hoje estamos com o mesmo problema. Estamos conectado através do PIX
> ALGAR
> > > PIAF.
> > > O que é necessário fazer para solucionar?
> > >
> > > Atenciosamente
> > > Guilherme A. Monfré
> > > Adm. Redes Internet
> > >
> > > Process Telecom
> > > Fone: +55 16 3506-1010 / 3506 1022
> > > E-mail: guilherme em process.com.br Skype:gmonfre
> > > “Para chegar aonde a maioria não chega, é preciso fazer o que a maioria
> > > não faz!”
> > >
> > > A Process oferece soluções com produtos e serviços de tecnologia e
> > > comunicação.
> > > Visite nosso portal de notícias www.process.com.br
> > >
> > > -----Mensagem original-----
> > > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de Douglas
> > Fischer
> > > Enviada em: sexta-feira, 3 de março de 2017 11:49
> > > Para: Lista das indisponibilidades da Internet brasileira
> > > Assunto: Re: [caiu] Globo.com via IX-SP
> > >
> > > Não tinha ouvido relatos assim com Cisco.
> > >
> > > Será que eles tinha alguma limitação de Broadcast aplicada na caixa
> > deles?
> > > Será que isso já foi vivenciado por outros usuário de Cisco em outros
> IX
> > > no Mundo?
> > >
> > >
> > > Em 2 de março de 2017 17:27, Kivio Braga <kiviobraga em gmail.com>
> > escreveu:
> > >
> > > > Pessoal,
> > > >
> > > > Aparentemente o problema é aprendizagem de mac dentro
> IX-SP..
> > > >
> > > > Realizamos um teste em conjunto com equipe de gerencia da
> globo.com...
> > > > no lado do meu roteador estava aprendendo mac do cisco deles
> > normalmente.
> > > >
> > > > A questão que eles não tinha o mac do meu roteador na tabela arp
> deles.
> > > >
> > > > Após forçarem um simples ping do bloco /21 (ATM-SP) com destino ao
> > > > endereço
> > > > ip/21 do meu roteador juniper... a conectividade voltou !
> > > >
> > > >
> > > > Se continuar gerando o problema.. vamos fazer uso da community para
> > > > filtrar anúncios para globo.com via IX-SP.
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Kívio Fernandes Braga
> > > >
> > > > Em 1 de março de 2017 20:04, marcio em sulonline.net
> > > > <marcio em sulonline.net>
> > > > escreveu:
> > > >
> > > > > Idem para as communities.
> > > > >
> > > > > Enviado de meu ASUS
> > > > >
> > > > > -------- Mensagem Original --------
> > > > > De:Cristofer Velloso <cristofervellosol em gmail.com> Enviado em:Wed,
> > > > > 01 Mar 2017 17:15:24 -0300 Para:Lista das indisponibilidades da
> > > > > Internet brasileira < caiu em eng.registro.br>
> > > > > Assunto:Re: [caiu] Globo.com via IX-SP
> > > > >
> > > > > >+1
> > > > > >
> > > > > >Estou com eles pelo transito também, PIX acredito que não tem a
> > > > > >ver, no meu caso PIX GVT-ENU.
> > > > > >
> > > > > >Acredito que seja algo tipo limite de macs no router deles ..
> > Alguém
> > > > > >da globo na lista? O router deles não pinga mas recebo o arp
> > dele e
> > > > > >as rotas normalmente, as vezes voltava a funcionar e voltava a
> > cair..
> > > > > >
> > > > > >Tive que estreiar o uso das communities do PTT-SP, que por sinal
> > > > > >funcionaram perfeitamente.
> > > > > >
> > > > > >[]os
> > > > > >Cristofer
> > > > > >
> > > > > >
> > > > > >
> > > > > >Em Qua, 2017-03-01 às 15:49 -0300, Diego Yugar escreveu:
> > > > > >> Deste o dia 23/02 estamos com o mesmo problema via ix o
> globo.com
> > > > > >> não responde, foi necessário aplicar os filtro para este AS e
> > > > > >> passar a comunicar pelo circuito de internet.
> > > > > >>
> > > > > >> Detalhe o next hop deste participante não responde durante as
> > > falhas.
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >> 2017-03-01 15:14 GMT-03:00 Leonardo Silva <
> > leonardosilva em gmail.com
> > > >:
> > > > > >>
> > > > > >> >
> > > > > >> > Normal via Equinix-SP2
> > > > > >> >
> > > > > >> > Em 1 de março de 2017 15:02, Márcio Elias Hahn do Nascimento <
> > > > > >> > marcio em sulonline.net> escreveu:
> > > > > >> >
> > > > > >> > >
> > > > > >> > >
> > > > > >> > >
> > > > > >> > > Estou desconfiado do PIX da Algar!
> > > > > >> > >
> > > > > >> > > ---
> > > > > >> > >
> > > > > >> > > Att
> > > > > >> > >
> > > > > >> > > Márcio Elias Hahn do
> > > > > >> > > Nascimento
> > > > > >> > >
> > > > > >> > > Em 01/03/2017 14:48, Andre Almeida escreveu:
> > > > > >> > >
> > > > > >> > > >
> > > > > >> > > > Pelo PIX da
> > > > > >> > > Level 3 está tudo OK.
> > > > > >> > > >
> > > > > >> > > > Tentei assistir Globo News ao vivo pra testar,
> > > > > >> > > fluiu 100% tranquilo.
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > > Att,
> > > > > >> > > >
> > > > > >> > > > Andre H. de Almeida
> > > > > >> > > >
> > > > > >> > > > Em 1 de
> > > > > >> > > março de 2017 14:45, Márcio Elias Hahn do Nascimento <
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > marcio em sulonline.net> escreveu:
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > > >
> > > > > >> > > > > Pessoal, alguém com algum problema
> > > > > >> > > para acesso a globo.com via IX-SP? Estou no PIX da
> > Algar-piaf.
> > > > > >> > > Bloqueei
> > > > > >> > > o recebimento das rotas do AS da globo vindas do IX e pelo
> > > > > >> > > trânsito está tudo ok! -- Att Márcio Elias Hahn do
> Nascimento
> > > > > >> > > _______________________________________________ caiu
> mailing
> > > > > >> > > list caiu em eng.registro.br
> > > > > >> > > https://eng.registro.br/mailman/listinfo/cai
> > > > > >> > > u [1]
> > > > > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >> > > https://eng.registro.br/mailman/options/caiu [2]
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > _______________________________________________
> > > > > >> > > >
> > > > > >> > > > caiu mailing list
> > > > > >> > > >
> > > > > >> > > caiu em eng.registro.br
> > > > > >> > > >
> > > > > >> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > > >> > > [1]
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >> > > >
> > > > > >> > > >
> > > > > >> > > https://eng.registro.br/mailman/options/caiu [2]
> > > > > >> > >
> > > > > >> > >
> > > > > >> > > Links:
> > > > > >> > > ------
> > > > > >> > > [1]
> > > > > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > > > > >> > > [2]
> > > > > >> > > https://eng.registro.br/mailman/options/caiu
> > > > > >> > > _______________________________________________
> > > > > >> > > caiu mailing list
> > > > > >> > > caiu em eng.registro.br
> > > > > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > > > > >> > >
> > > > > >> > >
> > > > > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >> > >
> > > > > >> > > https://eng.registro.br/mailman/options/caiu
> > > > > >> > >
> > > > > >> >
> > > > > >> >
> > > > > >> > --
> > > > > >> > Leonardo Silva
> > > > > >> > fone: 16 8143-1146
> > > > > >> > _______________________________________________
> > > > > >> > caiu mailing list
> > > > > >> > caiu em eng.registro.br
> > > > > >> > https://eng.registro.br/mailman/listinfo/caiu
> > > > > >> >
> > > > > >> >
> > > > > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >> >
> > > > > >> > https://eng.registro.br/mailman/options/caiu
> > > > > >> >
> > > > > >> _______________________________________________
> > > > > >> caiu mailing list
> > > > > >> caiu em eng.registro.br
> > > > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > > > >>
> > > > > >>
> > > > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >>
> > > > > >> https://eng.registro.br/mailman/options/caiu
> > > > > >_______________________________________________
> > > > > >caiu mailing list
> > > > > >caiu em eng.registro.br
> > > > > >https://eng.registro.br/mailman/listinfo/caiu
> > > > > >
> > > > > >
> > > > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >
> > > > > >https://eng.registro.br/mailman/options/caiu
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu