[GTER] RES: RES: Dúvida com Gratuitous ARP

Rejaine Monteiro rejaine at bhz.jamef.com.br
Fri Jun 11 21:40:03 -03 2010 

bom.. acho que começo a descobrir a origem dos arps gratuitos..
ainda não está certo, mas parece que tem relação com IPMI ( Intelligent
Platform Management Interface)
Pesquisando por aí, li alguma coisa a respeito de envios de arps
gratuitos pela mainboard Intel SE7221BK1-E
Ou seja, essa mainboard parece que tem o IPMI ativado e por isso fica
enviando essas requisições..
Como o expediente la  terminou e estou em outra localidade, só na
segunda vou poder continuar a investigação do problema..
Mas o que estranho  é a forma do roteador estar tratando  isso...


Rejaine Monteiro escreveu:
> é .. consegui identificar a máquina e onde ela estava no switch..
> ou seja, é a mesma maquina apontada pelo wireshark.. não tinha nenhuma
> outra (ou se tinha, foi desligada durante a varredura)
> desativei a porta onde essa maquina estava e pararam as requisicoes.. o
> estrsanho é que antes disso, eu tinha pedido para desligar a maquina e
> as requisicoes continuaram.. mas enfim.. vou continuar monitorando amanha...
>
> Rubens Kuhl escreveu:
>   
>> Os switches permitem mostrar a tabela de MACs aprendidos em cada porta
>> ? Lá vai dar para notar a presença desse MAC em outra porta que não a
>> esperada...
>>
>>
>> Rubens
>>
>>
>> 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>>   
>>     
>>> Estou desconfiando de mac clonado ou duplicado...
>>> Rodei o tcdump e wireshark.. Todas as requisições ARP para o endereço
>>> 192.168.30.32 registram o mesmo MAC
>>> Esse MAC é correspondente a uma máquina na minha rede interna,
>>> configurado com um endereço da minha subnet e não o 192.168.30.32
>>> Pedi para desligarem essa máquina, reiniciei os switches, depois rodei o
>>> wireshark (com a tal maquina ainda desligada) e as requisições
>>> continuaram e acontecer , para o mesmo mac!
>>>
>>> Alguma dica??
>>>
>>> Rubens Kuhl escreveu:
>>>     
>>>       
>>>> O comportamento descrito pelo Toledo se chama proxy-arp, que é ligado
>>>> por default em diversos equipamentos, incluindo mas não apenas os do
>>>> fabricante abaixo:
>>>> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml
>>>>
>>>>
>>>> Rubens
>>>>
>>>>
>>>> 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
>>>>
>>>>       
>>>>         
>>>>> Olá Luis,
>>>>>
>>>>> Bom interessante  sua colocação...
>>>>>
>>>>> Não cheguei a testar com o roteador desconectado da rede  porque estou
>>>>> fazendo o acesso remoto, pois o problema está ocorrendo em uma unidade
>>>>> diferente de onde estou, portanto preciso dele para fazer os testes...
>>>>>
>>>>> Fiz o teste dando um arping em qualquer outro IP fora da nossa faixa de
>>>>> IPs  e o roteador  responde.
>>>>> Mas será que isso não  pode  ocorrer justamente por ele ser o gateway
>>>>> default  ? Nesse caso, não estaria nada fora do normal...
>>>>>
>>>>> Confirmam ?
>>>>>
>>>>>
>>>>> Toledo, Luis Carlos escreveu:
>>>>>
>>>>>         
>>>>>           
>>>>>> Fez os mesmos testes com os roteadore(s) desconectados fisicamente da rede?
>>>>>>
>>>>>> Eu tive um problema parecido, onde o roteador respondia qq IP que fosse
>>>>>> perguntado o ARP. O que causava um "ARP poising" na rede, que ia ficando
>>>>>> lenta até quase parar.
>>>>>>
>>>>>> Trocamos o roteador e reforçamos a segurança do novo, pois entendemos que o
>>>>>> antigo roteador por algum motivo estava comprometido.
>>>>>>
>>>>>> Abs
>>>>>>
>>>>>>
>>>>>>
>>>>>>           
>>>>>>             
>>>>>>> Não temos acesso aos roteadores, no entanto possuimos acesso
>>>>>>> a monitoramento via SNMP .
>>>>>>> Pelo que consta (pelo menos a parte que consigo visualizar
>>>>>>> pela comunity "public",  não consta esse IP atribuído a
>>>>>>> nenhuma das interfaces em nenhum dos dois roteadores.
>>>>>>>
>>>>>>> Toledo, Luis Carlos escreveu:
>>>>>>>
>>>>>>>
>>>>>>>             
>>>>>>>               
>>>>>>>>> Sendo assim, não É justificavel que  a causa do problema da
>>>>>>>>> sobrecarga da CPU esteja sendo provocado por um acesso interno, ou
>>>>>>>>> seja, de dentro da nossa rede, conforme indicado pelo
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>                 
>>>>>>>>>                   
>>>>>>> técnico que nos
>>>>>>>
>>>>>>>
>>>>>>>             
>>>>>>>               
>>>>>>>>> atendeu, correto?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>                 
>>>>>>>>>                   
>>>>>>>> Vc tem gerência desses roteadores? Verificou se está
>>>>>>>>
>>>>>>>>
>>>>>>>>               
>>>>>>>>                 
>>>>>>> atribuido esse ip
>>>>>>>
>>>>>>>
>>>>>>>             
>>>>>>>               
>>>>>>>> suspeito a uma de suas interfaces?
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>               
>>>>>>>>                 
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>>
>>>>>         
>>>>>           
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list