[GTER] RES: RES: RES: Dúvida com Gratuitous ARP

Toledo, Luis Carlos lscrlstld at gmail.com
Sat Jun 12 11:04:33 -03 2010


Vc estando remoto sempre há a possibilidade do usuário não ter de fato
desligado...

> 
> Estou desconfiando de mac clonado ou duplicado...
> Rodei o tcdump e wireshark.. Todas as requisições ARP para o endereço
> 192.168.30.32 registram o mesmo MAC
> Esse MAC é correspondente a uma máquina na minha rede 
> interna, configurado com um endereço da minha subnet e não o 
> 192.168.30.32 Pedi para desligarem essa máquina, reiniciei os 
> switches, depois rodei o wireshark (com a tal maquina ainda 
> desligada) e as requisições continuaram e acontecer , para o 
> mesmo mac!
> 
> Alguma dica??
> 
> Rubens Kuhl escreveu:
> > O comportamento descrito pelo Toledo se chama proxy-arp, 
> que é ligado 
> > por default em diversos equipamentos, incluindo mas não 
> apenas os do 
> > fabricante abaixo:
> > 
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note0918
> > 6a0080094adb.shtml
> >
> >
> > Rubens
> >
> >
> > 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
> >   
> >> Olá Luis,
> >>
> >> Bom interessante  sua colocação...
> >>
> >> Não cheguei a testar com o roteador desconectado da rede  porque 
> >> estou fazendo o acesso remoto, pois o problema está 
> ocorrendo em uma 
> >> unidade diferente de onde estou, portanto preciso dele 
> para fazer os testes...
> >>
> >> Fiz o teste dando um arping em qualquer outro IP fora da 
> nossa faixa 
> >> de IPs  e o roteador  responde.
> >> Mas será que isso não  pode  ocorrer justamente por ele 
> ser o gateway 
> >> default  ? Nesse caso, não estaria nada fora do normal...
> >>
> >> Confirmam ?
> >>
> >>
> >> Toledo, Luis Carlos escreveu:
> >>     
> >>> Fez os mesmos testes com os roteadore(s) desconectados 
> fisicamente da rede?
> >>>
> >>> Eu tive um problema parecido, onde o roteador respondia qq IP que 
> >>> fosse perguntado o ARP. O que causava um "ARP poising" na 
> rede, que 
> >>> ia ficando lenta até quase parar.
> >>>
> >>> Trocamos o roteador e reforçamos a segurança do novo, pois 
> >>> entendemos que o antigo roteador por algum motivo estava 
> comprometido.
> >>>
> >>> Abs
> >>>
> >>>
> >>>       
> >>>> Não temos acesso aos roteadores, no entanto possuimos acesso a 
> >>>> monitoramento via SNMP .
> >>>> Pelo que consta (pelo menos a parte que consigo visualizar pela 
> >>>> comunity "public",  não consta esse IP atribuído a nenhuma das 
> >>>> interfaces em nenhum dos dois roteadores.
> >>>>
> >>>> Toledo, Luis Carlos escreveu:
> >>>>
> >>>>         
> >>>>>> Sendo assim, não É justificavel que  a causa do problema da 
> >>>>>> sobrecarga da CPU esteja sendo provocado por um acesso 
> interno, 
> >>>>>> ou seja, de dentro da nossa rede, conforme indicado pelo
> >>>>>>
> >>>>>>             
> >>>> técnico que nos
> >>>>
> >>>>         
> >>>>>> atendeu, correto?
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>             
> >>>>> Vc tem gerência desses roteadores? Verificou se está
> >>>>>
> >>>>>           
> >>>> atribuido esse ip
> >>>>
> >>>>         
> >>>>> suspeito a uma de suas interfaces?
> >>>>>
> >>>>>
> >>>>>
> >>>>>           
> >>>       
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >>     




More information about the gter mailing list