Hola! Tengo un proxy con linux en una red windows. Ultimamente se esta detectando demasiado trafico en la red. Reviso un poco con snort, y veo demasiado trafico ARP. La congestion esta llegando al punto tal que la red esta casi que colapsando (la salida a internet es casi nula.).
Como puedo controlar esto en el servidor? La una forma de que el servidor pueda conectarse a internet (por ejemplo si necesito configurarlo remotamente), es desactivando la interfaz de la red local (lo cual no es muy practico para un proxy :-S ). Que me recomiendan? Gracias por su ayuda. __________________________________________________ Correo Yahoo! Espacio para todos tus mensajes, antivirus y antispam ¡gratis! Regístrate ya - http://correo.yahoo.com.mx/ From [EMAIL PROTECTED] Tue Aug 16 20:47:49 2005 From: [EMAIL PROTECTED] (Miguel Angel Amador L) Date: Tue Aug 16 20:46:07 2005 Subject: Controlar problemas por trafico arp In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 8/17/05, Carlos Mario Mora (c4y0) <[EMAIL PROTECTED]> wrote: > Hola! > > Tengo un proxy con linux en una red windows. Ultimamente se esta > detectando demasiado trafico en la red. Reviso un poco con snort, y veo > demasiado trafico ARP. La congestion esta llegando al punto tal que la > red esta casi que colapsando (la salida a internet es casi nula.). > Como puedo controlar esto en el servidor? La una forma de que el > servidor pueda conectarse a internet (por ejemplo si necesito > configurarlo remotamente), es desactivando la interfaz de la red local > (lo cual no es muy practico para un proxy :-S ). > > Que me recomiendan? > > Gracias por su ayuda. > __________________________________________________ > Correo Yahoo! > Espacio para todos tus mensajes, antivirus y antispam ¡gratis! > Regístrate ya - http://correo.yahoo.com.mx/ > Como sabes que es el trafico ARP es el que te esta generando problemas? , mucho trafico no significa "congestion" de la Red, Exceso de trafico ARP puede generar que las tablas de los Switch se rebalsen dejando que estos funcionen como Hub's, y esto pasa a veces cuando pones un sniffer en la red, o cuando tienes un troyano/gusano. Ciertos router (en especial D-Link o router cisco menores) se congestionan o bloquean cuando tienen mucho trafico anomalo (SYN_FLOOD/ ARP_FLOOD), siendo la solucion resetearlos. Si tienes una red con switch administrables, te diria que vieras por ahi como controlar el trafico ARP, o que vieras si no tienes algun engendro de worm/trojans generandote trafico anomalo por ahi. En mi experiencia, el 90% de los casos de ese estilo ha sido algun Worms/Trojano/Spyware/*Bot que anda dando vuelta en una maquina windows, instalate un sniffer y mira de donde provienen los paquetes o si los switch son administrables, revisa el trafico de las puertas. Saludos -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] [ http://www.fotolog.net/kush ]
