[caiu] IX-SP - Broadcast Alto - ARP Input Alto - Sessões Caindo

vitor silva vitorsilvagyn em gmail.com
Sex Set 1 16:10:43 BRT 2017


Pessoal bom dia, estou repassando um trabalho que acho importante que está
sendo realizado por Douglas Fischer e divulgado no Grupo IX.BR (Telegram)
caso alguém queira aderir fique a vontade.

Douglas Fischer, [Sep 1, 2017, 1:38 AM]:
ARP Excessivo no IX-SP

Para os que não sabem eu e alguns colegas estamos gastando alguma energia
reduzir o número de ARP-Requests em BroadCasts na Vlan do ATM do IX-SP

Com uma semana de divulgação muito simples conseguimos que uns 30-40
participantes que usam Mikrotik ajustassem o ARP-Timeout de seus Roteadores
e isso reduziu em +/- 7% o volume de broadcast de 23/08/2017 para
31/08/2015.

Se você aplicar no seu Mikrotik o comando "/ip settings set arp-timeout=4h"
Você já vai ajudar pra caramba esse trabalho...
Pode aplicar no quente, pois vários colegas reportaram não terem tido
problemas com essa ação.
Avise seus amigos que estão no IX!

Para que se interessar pelo assunto tem uma Thread na Lista de E-mails
GTER(mantida pelo Registro.BR) com bastante detalhes e ideias sobre o tema.
https://eng.registro.br/pipermail/gter/2017-August/thread.html#70842

...Acabo de concluir mais uma análise de Sniffing de ARP na Vlan do ATM do
IX-SP.

Vou divulgar a FAMIGERADA LISTA dos coleguinhas que estão fazendo mais
barulho na rede.
Isso pode gerar algum desconforto, então vou descrever a metodologia
utilizada.
Dessa forma ficará claro que qualquer um pode chegar a esses mesmos dados:

 1- Pedi para um amigo fazer a coleta num PIX que considero estratégico.
 2- Baixei, descompactei, e abri com o Wireshark o arquivo .PCAP.
 3- No Wireshark exportei para CSV todos os pacotes.
 4- Abri com o Excell.
    Foram coletados 1,4 Milhões de pacotes.
    Para evitar o passo de ter que importar para o PowerBI e exportar,
    optei por truncar em 1 milhão de registro(máximo do Excell).
 5- No Excel usei texto para colunas e separei os dados como me foi
conveniente.
 6- Selecionei todos os pacotes de ARP-Reply e apaguei, afim de evitar a
identificação do amigo que fexz a coleta.
 7- Acessei https://www.peeringdb.com/ix/171 e copiei os dados dali para
uma planilha do Excell
 8- A partir dos pacotes coletados, montei uma planilha IPvsMAC
 9- Usando algumas formulas de referência, complementei a Planilha IPvsMAC
com os dados do PeeringDB
10- Separei para outras 3 planilhas pacotes que considerei incorretos,
provenientes de ERROS DE CONFIGURAÇÃO, sendo:
    - IP de Origem fora da faixa de IP do IX-SP
    - ARP Gratuito
    - Proxy ARP, Requests por IPs dentro da faixa mas de origem fora da
Sub-Rede do IX-SP.
11- Criei uma planilha com o resumo desses ERROS DE CONFIGURAÇÃO
12- Criei uma planilha com o resumo por IP PERGUNTADOR(quem fez o request)
13- Criei uma planilha com o resumo por IP PERGUNTADO(destino)
14- Criei uma planilha com o resumo por Fabricante
15- Gerei PDFs das planilhas criadas nos passos 11-14
16- Subi os arquivos no google drive, e gerei links de compartilhamento.




Vou divulgar essas informações no maior número de canais possíveis que
conseguir.
Peço que os colegas que sentirem vontade, também o façam, citando a fonte.

RE-RE-RE-Lembro que a intenção aqui é melhorar a vida de todos no IX-SP.
Portanto, peço ENCARECIDAMENTE duas coisas:

A- Não queria dar uma de justiceiro!
   Sem querer derrubar o coleguinha só porque ele está soltando broadcast.
B- Não crie recentientos!
   Nossa galerinha só quer que o IX fique melhor-e-melhor...
   Leve isso como críticas construtiva.
   Se acaso seu IP/ASN/Nome do Whois aparecer no topo das listas, apenas
corra atrás de ajustar oque for necessário em termos de configuração.




Seguem os links pars os arquivos:

SniffingARP-IX-SP_2017-08-31_ConfiguraçõesIncoerentes.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PVGViY3JSc0xMX1E

SniffingARP-IX-SP_2017-08-31_ResumoPorFabricante.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PenBHN18yWDNtdnc

SniffingARP-IX-SP_2017-08-31_ResumoPorIPProcurado.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PUjZPOEJzM3NGMEE

SniffingARP-IX-SP_2017-08-31_ResumoPorIPProcurador.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PNjJPTXNfUmlxLTg

SniffingARP-IX-SP_2017-08-31_SemDadosDaColeta.xlsx (631KB)
https://drive.google.com/open?id=0B2ezlM5MIr8PT01nUDRzVTBmWDA

.
.
Sintan-se à vontade para divulgar...



Em sex, 1 de set de 2017 às 16:07, Igor Assis <igor.assis em outlook.com>
escreveu:

> Prezados,
>
> A conversa continua rendendo bastante e muita gente está colaborando para
> o fim do problema, identificamos alguns problemas vindos de roteadores da
> Huawei também. Quem quiser fazer parte e contribuir para o fim do problema
> todo mundo está no Telegram: t.me/IX_BR
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
-- 
Enviado via IPhone


Mais detalhes sobre a lista de discussão caiu