Problemas con paquetes ARP que me saturan la red

Iniciado por sergioss, 9 Mayo 2013, 10:38 AM

0 Miembros y 1 Visitante están viendo este tema.

sergioss

Hola a tod@s,

a ver si alguien me puede echar una mano, porque llevo ya un tiempo detrás de esto y ya no se que hacer.

Os explico, en mi empresa tenemos una NetLan montada con teléfonica en la cual todas las sedes se conectan a la central. El direccionamiento de la central es 10.0.1.X y el de cada una de las sedes es 10.0.X.X. Los dos routers Cisco 1700 que conectan la central con las sedes tienen las ips 10.0.1.5 y 10.0.1.6 que estan virtualizadas las dos en la 10.0.1.1

El problema es el siguiente, de vez en cuando (no todos los días ni siempre a las mismas horas) se empiezan a generar paquetes ARP que provienen de uno de los routers preguntando por una MAC y una IP.

Un ejemplo es:

source         Destination      Protocol   Info
aa:bb:cc:dd:ee:ff   11:22:33:44:55:66   ARP      Who has 10.0.1.56? Tell 10.0.1.5

Se generan alrededor de 15.000 paquetes por segundo lo que hace que la red se quede frita.

Normalmente el origen es uno de los routers, pero el destino cambia y preguntando por dispositivos (pcs, impresoras, swiches.. ) que están apagados. Por ahora la forma que tengo de solucionarlo es encendiendo el dispositivo con la MAC por el cual pregunta, o "engañando" al router y cambiando en mi pc la MAC por la que pregunta. Una vez que esta encendido, el dispositivo responde a la peticion ARP y vuelve todo a la normalidad pero el rato que está así es imposible trabajar con cosas de red, tanto en la central, como en las sedes.

Alguien me puede echar una mano o dar una pista de lo que puede estar pasando. Espero haberme explicado bien, y os doy las gracias de antemano.

Un saludo

Sergio

estepeño

Hola sergio;

Es cierto que, con los equipos apagados, no deberian pedir la MAC. Pero, Te has preguntado si existe la posibilidad de que alguien externo y con fines ilicitos se quiera hacer con direcciones MAC de los equipos?? y por eso este constantemente preguntado por la mac de ciertas direcciones IP??...la verdad  es que es lo que se me puede ocurrir, puesto que veo que usas un router Cisco, y en este tipo de router viene habilitado el ARP Proxy. ( nose si sabes de lo que te estoy hablando).



Espero haberte servido de ayuda con lo que te he comentado.  Esperamos, o espero yo en particular, que en cuanto sepas la solución la comentases si no tienes problema.

Un saludo

sergioss

Hola Estepeño, gracias por contestar,

No creo que sea lo que comentas, más que nada porque ninguna de las sedes tiene salida a internet y a lo único que pueden conectarse a la sede central.

Desde la sede central le damos salida a internet mediante un proxy (Squid), solo pueden acceder a las webs permitidas, admás, el router de internet pasa por un cortafuegos (Fortigate) y ninguno de estos me ha dado ninguna pista.

Apuesto más porque sea un virus que haya entrado en algún pc de alguna sede mediante algún USB o algo, pero tampoco tengo la certeza. He estado buscando información y no he visto nada sobre ningún virus que haga esto.

Gracias