[GTER] IX Broadcast - Sugestão - Broadcast Clearing vs ARP Sponge

Douglas Fischer fischerdouglas at gmail.com
Fri Sep 1 12:39:03 -03 2017 

Estendi mais a análise, com maior foco no destino,
e acredito que consegui mata uma das charadas do problema!

Criei uma nova pasta do excel com a planilha dos pacotes coletados
Ordenei os pacotes por Perguntado(Destino), Perguntador(requisitante),e por
Tempo.
Criei uma coluna medindo o tempo entre os pacotes seqeunciais.
Criei uma coluna que determina sucesso ou falha dependendo do tempo entre
os pacotes
    - Se o tempo entre dois ARP-Requests do mesmo solicitante
      for menor que 10 segundos, presumi que o pacote anterior
      Presumi que o pacote anterior não foi respondido.

Com essa conta consegui observar que os TOP Perguntados tiveram GRANDE % de
FALHA!

Isso indica que esses pacotes não chegaram ao destino.
Provavelmente por terem sido dropados no caminho.
Muito provavelmente por algum rate-limit de PPS de ARP para proteger a CPU.

Ou seja:
O que protege as caixas do veneno, aumenta o veneno sendo espalhado!


Segue link para novo arquivo:
SniffingARP-IX-SP_2017-08-31_AnaliseFalhaRespostaArp.xlsx (57,7MB)
https://drive.google.com/open?id=0B2ezlM5MIr8PNzJfOENtZ3ZRWU0



Em 1 de setembro de 2017 01:39, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> ​Acabo de concluir mais uma análise de Sniffing de ARP na Vlan do ATM do
> IX-SP.
>
> Vou divulgar a FAMIGERADA LISTA dos coleguinhas que estão fazendo mais
> barulho na rede.
> Isso pode gerar algum desconforto, então vou descrever a metodologia
> utilizada.
> Dessa forma ficará claro que qualquer um pode chegar a esses mesmos dados:
>
>  1- Pedi para um amigo fazer a coleta num PIX que considero estratégico.
>  2- Baixei, descompactei, e abri com o Wireshark o arquivo .PCAP.
>  3- No Wireshark exportei para CSV todos os pacotes.
>  4- Abri com o Excell.
>     Foram coletados 1,4 Milhões de pacotes.
>     Para evitar o passo de ter que importar para o PowerBI e exportar,
>     optei por truncar em 1 milhão de registro(máximo do Excell).
>  5- No Excel usei texto para colunas e separei os dados como me foi
> conveniente.
>  6- Selecionei todos os pacotes de ARP-Reply e apaguei, afim de evitar a
> identificação do amigo que fexz a coleta.
>  7- Acessei https://www.peeringdb.com/ix/171 e copiei os dados dali para
> uma planilha do Excell
>  8- A partir dos pacotes coletados, montei uma planilha IPvsMAC
>  9- Usando algumas formulas de referência, complementei a Planilha IPvsMAC
> com os dados do PeeringDB
> 10- Separei para outras 3 planilhas pacotes que considerei incorretos,
> provenientes de ERROS DE CONFIGURAÇÃO, sendo:
>     - IP de Origem fora da faixa de IP do IX-SP
>     - ARP Gratuito
>     - Proxy ARP, Requests por IPs dentro da faixa mas de origem fora da
> Sub-Rede do IX-SP.
> 11- Criei uma planilha com o resumo desses ERROS DE CONFIGURAÇÃO
> 12- Criei uma planilha com o resumo por IP PERGUNTADOR(quem fez o request)
> 13- Criei uma planilha com o resumo por IP PERGUNTADO(destino)
> 14- Criei uma planilha com o resumo por Fabricante
> 15- Gerei PDFs das planilhas criadas nos passos 11-14
> 16- Subi os arquivos no google drive, e gerei links de compartilhamento.
>
>
>
>
> Vou divulgar essas informações no maior número de canais possíveis que
> conseguir.
> Peço que os colegas que sentirem vontade, também o façam, citando a fonte.
>
> RE-RE-RE-Lembro que a intenção aqui é melhorar a vida de todos no IX-SP.
> Portanto, peço ENCARECIDAMENTE duas coisas:
>
> A- Não queria dar uma de justiceiro!
>    Sem querer derrubar o coleguinha só porque ele está soltando broadcast.
> B- Não crie recentientos!
>    Nossa galerinha só quer que o IX fique melhor-e-melhor...
>    Leve isso como críticas construtiva.
>    Se acaso seu IP/ASN/Nome do Whois aparecer no topo das listas, apenas
> corra atrás de ajustar oque for necessário em termos de configuração.
>
>
>
>
> Seguem os links pars os arquivos:
>
> SniffingARP-IX-SP_2017-08-31_ConfiguraçõesIncoerentes.pdf
> https://drive.google.com/open?id=0B2ezlM5MIr8PVGViY3JSc0xMX1E
>
> SniffingARP-IX-SP_2017-08-31_ResumoPorFabricante.pdf
> https://drive.google.com/open?id=0B2ezlM5MIr8PenBHN18yWDNtdnc
>
> SniffingARP-IX-SP_2017-08-31_ResumoPorIPProcurado.pdf
> https://drive.google.com/open?id=0B2ezlM5MIr8PUjZPOEJzM3NGMEE
>
> SniffingARP-IX-SP_2017-08-31_ResumoPorIPProcurador.pdf
> https://drive.google.com/open?id=0B2ezlM5MIr8PNjJPTXNfUmlxLTg
>
> SniffingARP-IX-SP_2017-08-31_SemDadosDaColeta.xlsx (631KB)
> https://drive.google.com/open?id=0B2ezlM5MIr8PT01nUDRzVTBmWDA
>
> SniffingARP-IX-SP_2017-08-31.xlsx (49,9MB)
> https://drive.google.com/open?id=0B2ezlM5MIr8PMWxKNF8zZ1cwVVU
>
>
>
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list