[GTER] RES: RES: Dúvida com Gratuitous ARP

Rejaine Monteiro rejaine at bhz.jamef.com.br
Fri Jun 11 18:23:38 -03 2010


é .. consegui identificar a máquina e onde ela estava no switch..
ou seja, é a mesma maquina apontada pelo wireshark.. não tinha nenhuma
outra (ou se tinha, foi desligada durante a varredura)
desativei a porta onde essa maquina estava e pararam as requisicoes.. o
estrsanho é que antes disso, eu tinha pedido para desligar a maquina e
as requisicoes continuaram.. mas enfim.. vou continuar monitorando amanha...

Rubens Kuhl escreveu:
> Os switches permitem mostrar a tabela de MACs aprendidos em cada porta
> ? Lá vai dar para notar a presença desse MAC em outra porta que não a
> esperada...
>
>
> Rubens
>
>
> 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>   
>> Estou desconfiando de mac clonado ou duplicado...
>> Rodei o tcdump e wireshark.. Todas as requisições ARP para o endereço
>> 192.168.30.32 registram o mesmo MAC
>> Esse MAC é correspondente a uma máquina na minha rede interna,
>> configurado com um endereço da minha subnet e não o 192.168.30.32
>> Pedi para desligarem essa máquina, reiniciei os switches, depois rodei o
>> wireshark (com a tal maquina ainda desligada) e as requisições
>> continuaram e acontecer , para o mesmo mac!
>>
>> Alguma dica??
>>
>> Rubens Kuhl escreveu:
>>     
>>> O comportamento descrito pelo Toledo se chama proxy-arp, que é ligado
>>> por default em diversos equipamentos, incluindo mas não apenas os do
>>> fabricante abaixo:
>>> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml
>>>
>>>
>>> Rubens
>>>
>>>
>>> 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>>>
>>>       
>>>> Olá Luis,
>>>>
>>>> Bom interessante  sua colocação...
>>>>
>>>> Não cheguei a testar com o roteador desconectado da rede  porque estou
>>>> fazendo o acesso remoto, pois o problema está ocorrendo em uma unidade
>>>> diferente de onde estou, portanto preciso dele para fazer os testes...
>>>>
>>>> Fiz o teste dando um arping em qualquer outro IP fora da nossa faixa de
>>>> IPs  e o roteador  responde.
>>>> Mas será que isso não  pode  ocorrer justamente por ele ser o gateway
>>>> default  ? Nesse caso, não estaria nada fora do normal...
>>>>
>>>> Confirmam ?
>>>>
>>>>
>>>> Toledo, Luis Carlos escreveu:
>>>>
>>>>         
>>>>> Fez os mesmos testes com os roteadore(s) desconectados fisicamente da rede?
>>>>>
>>>>> Eu tive um problema parecido, onde o roteador respondia qq IP que fosse
>>>>> perguntado o ARP. O que causava um "ARP poising" na rede, que ia ficando
>>>>> lenta até quase parar.
>>>>>
>>>>> Trocamos o roteador e reforçamos a segurança do novo, pois entendemos que o
>>>>> antigo roteador por algum motivo estava comprometido.
>>>>>
>>>>> Abs
>>>>>
>>>>>
>>>>>
>>>>>           
>>>>>> Não temos acesso aos roteadores, no entanto possuimos acesso
>>>>>> a monitoramento via SNMP .
>>>>>> Pelo que consta (pelo menos a parte que consigo visualizar
>>>>>> pela comunity "public",  não consta esse IP atribuído a
>>>>>> nenhuma das interfaces em nenhum dos dois roteadores.
>>>>>>
>>>>>> Toledo, Luis Carlos escreveu:
>>>>>>
>>>>>>
>>>>>>             
>>>>>>>> Sendo assim, não É justificavel que  a causa do problema da
>>>>>>>> sobrecarga da CPU esteja sendo provocado por um acesso interno, ou
>>>>>>>> seja, de dentro da nossa rede, conforme indicado pelo
>>>>>>>>
>>>>>>>>
>>>>>>>>                 
>>>>>> técnico que nos
>>>>>>
>>>>>>
>>>>>>             
>>>>>>>> atendeu, correto?
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>                 
>>>>>>> Vc tem gerência desses roteadores? Verificou se está
>>>>>>>
>>>>>>>
>>>>>>>               
>>>>>> atribuido esse ip
>>>>>>
>>>>>>
>>>>>>             
>>>>>>> suspeito a uma de suas interfaces?
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>               
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>>>         



More information about the gter mailing list