[GTER] IX Broadcast - Sugestão - Broadcast Clearing vs ARP Sponge

Douglas Fischer fischerdouglas at gmail.com
Fri Sep 1 01:39:38 -03 2017 

​Acabo de concluir mais uma análise de Sniffing de ARP na Vlan do ATM do
IX-SP.

Vou divulgar a FAMIGERADA LISTA dos coleguinhas que estão fazendo mais
barulho na rede.
Isso pode gerar algum desconforto, então vou descrever a metodologia
utilizada.
Dessa forma ficará claro que qualquer um pode chegar a esses mesmos dados:

 1- Pedi para um amigo fazer a coleta num PIX que considero estratégico.
 2- Baixei, descompactei, e abri com o Wireshark o arquivo .PCAP.
 3- No Wireshark exportei para CSV todos os pacotes.
 4- Abri com o Excell.
    Foram coletados 1,4 Milhões de pacotes.
    Para evitar o passo de ter que importar para o PowerBI e exportar,
    optei por truncar em 1 milhão de registro(máximo do Excell).
 5- No Excel usei texto para colunas e separei os dados como me foi
conveniente.
 6- Selecionei todos os pacotes de ARP-Reply e apaguei, afim de evitar a
identificação do amigo que fexz a coleta.
 7- Acessei https://www.peeringdb.com/ix/171 e copiei os dados dali para
uma planilha do Excell
 8- A partir dos pacotes coletados, montei uma planilha IPvsMAC
 9- Usando algumas formulas de referência, complementei a Planilha IPvsMAC
com os dados do PeeringDB
10- Separei para outras 3 planilhas pacotes que considerei incorretos,
provenientes de ERROS DE CONFIGURAÇÃO, sendo:
    - IP de Origem fora da faixa de IP do IX-SP
    - ARP Gratuito
    - Proxy ARP, Requests por IPs dentro da faixa mas de origem fora da
Sub-Rede do IX-SP.
11- Criei uma planilha com o resumo desses ERROS DE CONFIGURAÇÃO
12- Criei uma planilha com o resumo por IP PERGUNTADOR(quem fez o request)
13- Criei uma planilha com o resumo por IP PERGUNTADO(destino)
14- Criei uma planilha com o resumo por Fabricante
15- Gerei PDFs das planilhas criadas nos passos 11-14
16- Subi os arquivos no google drive, e gerei links de compartilhamento.




Vou divulgar essas informações no maior número de canais possíveis que
conseguir.
Peço que os colegas que sentirem vontade, também o façam, citando a fonte.

RE-RE-RE-Lembro que a intenção aqui é melhorar a vida de todos no IX-SP.
Portanto, peço ENCARECIDAMENTE duas coisas:

A- Não queria dar uma de justiceiro!
   Sem querer derrubar o coleguinha só porque ele está soltando broadcast.
B- Não crie recentientos!
   Nossa galerinha só quer que o IX fique melhor-e-melhor...
   Leve isso como críticas construtiva.
   Se acaso seu IP/ASN/Nome do Whois aparecer no topo das listas, apenas
corra atrás de ajustar oque for necessário em termos de configuração.




Seguem os links pars os arquivos:

SniffingARP-IX-SP_2017-08-31_ConfiguraçõesIncoerentes.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PVGViY3JSc0xMX1E

SniffingARP-IX-SP_2017-08-31_ResumoPorFabricante.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PenBHN18yWDNtdnc

SniffingARP-IX-SP_2017-08-31_ResumoPorIPProcurado.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PUjZPOEJzM3NGMEE

SniffingARP-IX-SP_2017-08-31_ResumoPorIPProcurador.pdf
https://drive.google.com/open?id=0B2ezlM5MIr8PNjJPTXNfUmlxLTg

SniffingARP-IX-SP_2017-08-31_SemDadosDaColeta.xlsx (631KB)
https://drive.google.com/open?id=0B2ezlM5MIr8PT01nUDRzVTBmWDA

SniffingARP-IX-SP_2017-08-31.xlsx (49,9MB)
https://drive.google.com/open?id=0B2ezlM5MIr8PMWxKNF8zZ1cwVVU

More information about the gter mailing list