[GTER] RES: RES: RES: Dúvida com Gratuitous ARP
Toledo, Luis Carlos
lscrlstld at gmail.com
Sat Jun 12 11:04:33 -03 2010
Vc estando remoto sempre há a possibilidade do usuário não ter de fato
desligado...
>
> Estou desconfiando de mac clonado ou duplicado...
> Rodei o tcdump e wireshark.. Todas as requisições ARP para o endereço
> 192.168.30.32 registram o mesmo MAC
> Esse MAC é correspondente a uma máquina na minha rede
> interna, configurado com um endereço da minha subnet e não o
> 192.168.30.32 Pedi para desligarem essa máquina, reiniciei os
> switches, depois rodei o wireshark (com a tal maquina ainda
> desligada) e as requisições continuaram e acontecer , para o
> mesmo mac!
>
> Alguma dica??
>
> Rubens Kuhl escreveu:
> > O comportamento descrito pelo Toledo se chama proxy-arp,
> que é ligado
> > por default em diversos equipamentos, incluindo mas não
> apenas os do
> > fabricante abaixo:
> >
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note0918
> > 6a0080094adb.shtml
> >
> >
> > Rubens
> >
> >
> > 2010/6/11 Rejaine Monteiro <rejaine at bhz.jamef.com.br>:
> >
> >> Olá Luis,
> >>
> >> Bom interessante sua colocação...
> >>
> >> Não cheguei a testar com o roteador desconectado da rede porque
> >> estou fazendo o acesso remoto, pois o problema está
> ocorrendo em uma
> >> unidade diferente de onde estou, portanto preciso dele
> para fazer os testes...
> >>
> >> Fiz o teste dando um arping em qualquer outro IP fora da
> nossa faixa
> >> de IPs e o roteador responde.
> >> Mas será que isso não pode ocorrer justamente por ele
> ser o gateway
> >> default ? Nesse caso, não estaria nada fora do normal...
> >>
> >> Confirmam ?
> >>
> >>
> >> Toledo, Luis Carlos escreveu:
> >>
> >>> Fez os mesmos testes com os roteadore(s) desconectados
> fisicamente da rede?
> >>>
> >>> Eu tive um problema parecido, onde o roteador respondia qq IP que
> >>> fosse perguntado o ARP. O que causava um "ARP poising" na
> rede, que
> >>> ia ficando lenta até quase parar.
> >>>
> >>> Trocamos o roteador e reforçamos a segurança do novo, pois
> >>> entendemos que o antigo roteador por algum motivo estava
> comprometido.
> >>>
> >>> Abs
> >>>
> >>>
> >>>
> >>>> Não temos acesso aos roteadores, no entanto possuimos acesso a
> >>>> monitoramento via SNMP .
> >>>> Pelo que consta (pelo menos a parte que consigo visualizar pela
> >>>> comunity "public", não consta esse IP atribuído a nenhuma das
> >>>> interfaces em nenhum dos dois roteadores.
> >>>>
> >>>> Toledo, Luis Carlos escreveu:
> >>>>
> >>>>
> >>>>>> Sendo assim, não É justificavel que a causa do problema da
> >>>>>> sobrecarga da CPU esteja sendo provocado por um acesso
> interno,
> >>>>>> ou seja, de dentro da nossa rede, conforme indicado pelo
> >>>>>>
> >>>>>>
> >>>> técnico que nos
> >>>>
> >>>>
> >>>>>> atendeu, correto?
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> Vc tem gerência desses roteadores? Verificou se está
> >>>>>
> >>>>>
> >>>> atribuido esse ip
> >>>>
> >>>>
> >>>>> suspeito a uma de suas interfaces?
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
More information about the gter
mailing list