[GTER] RES: RES: Dúvida com Gratuitous ARP

Rubens Kuhl rubensk at gmail.com
Fri Jun 11 17:30:56 -03 2010


Os switches permitem mostrar a tabela de MACs aprendidos em cada porta
? Lá vai dar para notar a presença desse MAC em outra porta que não a
esperada...


Rubens


2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>
> Estou desconfiando de mac clonado ou duplicado...
> Rodei o tcdump e wireshark.. Todas as requisições ARP para o endereço
> 192.168.30.32 registram o mesmo MAC
> Esse MAC é correspondente a uma máquina na minha rede interna,
> configurado com um endereço da minha subnet e não o 192.168.30.32
> Pedi para desligarem essa máquina, reiniciei os switches, depois rodei o
> wireshark (com a tal maquina ainda desligada) e as requisições
> continuaram e acontecer , para o mesmo mac!
>
> Alguma dica??
>
> Rubens Kuhl escreveu:
>> O comportamento descrito pelo Toledo se chama proxy-arp, que é ligado
>> por default em diversos equipamentos, incluindo mas não apenas os do
>> fabricante abaixo:
>> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml
>>
>>
>> Rubens
>>
>>
>> 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>>
>>> Olá Luis,
>>>
>>> Bom interessante  sua colocação...
>>>
>>> Não cheguei a testar com o roteador desconectado da rede  porque estou
>>> fazendo o acesso remoto, pois o problema está ocorrendo em uma unidade
>>> diferente de onde estou, portanto preciso dele para fazer os testes...
>>>
>>> Fiz o teste dando um arping em qualquer outro IP fora da nossa faixa de
>>> IPs  e o roteador  responde.
>>> Mas será que isso não  pode  ocorrer justamente por ele ser o gateway
>>> default  ? Nesse caso, não estaria nada fora do normal...
>>>
>>> Confirmam ?
>>>
>>>
>>> Toledo, Luis Carlos escreveu:
>>>
>>>> Fez os mesmos testes com os roteadore(s) desconectados fisicamente da rede?
>>>>
>>>> Eu tive um problema parecido, onde o roteador respondia qq IP que fosse
>>>> perguntado o ARP. O que causava um "ARP poising" na rede, que ia ficando
>>>> lenta até quase parar.
>>>>
>>>> Trocamos o roteador e reforçamos a segurança do novo, pois entendemos que o
>>>> antigo roteador por algum motivo estava comprometido.
>>>>
>>>> Abs
>>>>
>>>>
>>>>
>>>>> Não temos acesso aos roteadores, no entanto possuimos acesso
>>>>> a monitoramento via SNMP .
>>>>> Pelo que consta (pelo menos a parte que consigo visualizar
>>>>> pela comunity "public",  não consta esse IP atribuído a
>>>>> nenhuma das interfaces em nenhum dos dois roteadores.
>>>>>
>>>>> Toledo, Luis Carlos escreveu:
>>>>>
>>>>>
>>>>>>> Sendo assim, não É justificavel que  a causa do problema da
>>>>>>> sobrecarga da CPU esteja sendo provocado por um acesso interno, ou
>>>>>>> seja, de dentro da nossa rede, conforme indicado pelo
>>>>>>>
>>>>>>>
>>>>> técnico que nos
>>>>>
>>>>>
>>>>>>> atendeu, correto?
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> Vc tem gerência desses roteadores? Verificou se está
>>>>>>
>>>>>>
>>>>> atribuido esse ip
>>>>>
>>>>>
>>>>>> suspeito a uma de suas interfaces?
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>



More information about the gter mailing list