Consulta ARP
obli
-
jojomisterjo Mensajes publicados 646 Estado Miembro -
jojomisterjo Mensajes publicados 646 Estado Miembro -
Hola a todos,
Actualmente estoy en prácticas en una empresa y me encargo de solucionar algunos problemas de lentitud en la red. He notado, gracias a Wireshark, numerosas solicitudes ARP en broadcast provenientes de varios servidores en la red, con un promedio de 8 por segundo.
No estando familiarizado con este protocolo y no encontrando nada relevante en internet, no sé si 8 solicitudes/segundo es enorme o, por el contrario, es normal, y no sé si se espera que un servicio específico haga las solicitudes una sola vez y no todos los servidores al mismo tiempo.
La red está en un dominio de AD, con un servidor DHCP, Proxy y DNS; los servidores que hacen las solicitudes son, por ejemplo, el servidor cups o samba.
Si necesitan más información o si pueden aclarar mis dudas, no duden en responder a esta publicación.
Atentamente.
Actualmente estoy en prácticas en una empresa y me encargo de solucionar algunos problemas de lentitud en la red. He notado, gracias a Wireshark, numerosas solicitudes ARP en broadcast provenientes de varios servidores en la red, con un promedio de 8 por segundo.
No estando familiarizado con este protocolo y no encontrando nada relevante en internet, no sé si 8 solicitudes/segundo es enorme o, por el contrario, es normal, y no sé si se espera que un servicio específico haga las solicitudes una sola vez y no todos los servidores al mismo tiempo.
La red está en un dominio de AD, con un servidor DHCP, Proxy y DNS; los servidores que hacen las solicitudes son, por ejemplo, el servidor cups o samba.
Si necesitan más información o si pueden aclarar mis dudas, no duden en responder a esta publicación.
Atentamente.
7 respuestas
Hola,
El protocolo ARP es totalmente independiente de tu Active Directory, como puedes imaginar, es de red, así que no enfoques tu resolución de problemas en el AD (o su funcionamiento en la red) sino más bien en el servidor del que provienen las solicitudes incesantes.
De hecho, 8 solicitudes/s son muchas, excepto por supuesto si ha habido una interrupción de la red u otra cosa y que el servidor quiere volver a comunicarse en su LAN.
¿Desde hace cuánto tiempo has lanzado tu wireshark?
Saludos.
El protocolo ARP es totalmente independiente de tu Active Directory, como puedes imaginar, es de red, así que no enfoques tu resolución de problemas en el AD (o su funcionamiento en la red) sino más bien en el servidor del que provienen las solicitudes incesantes.
De hecho, 8 solicitudes/s son muchas, excepto por supuesto si ha habido una interrupción de la red u otra cosa y que el servidor quiere volver a comunicarse en su LAN.
¿Desde hace cuánto tiempo has lanzado tu wireshark?
Saludos.
Hola
en realidad en la red, el ARP sirve para vincular una IP local con una dirección MAC. Entonces, cuando una máquina llega a la red, hace una solicitud ARP en broadcast y así interroga a todas las máquinas de la red hasta que le respondan y encuentre el router. Por lo tanto, no me parece tan exagerado las 8 solicitudes. Después creo que estamos más o menos al mismo nivel escolar, así que te remito al sitio del cero que te explicará todo esto mejor en detalle ;)
https://openclassrooms.com/fr/courses
--
Técnico informático y amante de las fiestas, la informática y el Hardcore son mi vida :)
en realidad en la red, el ARP sirve para vincular una IP local con una dirección MAC. Entonces, cuando una máquina llega a la red, hace una solicitud ARP en broadcast y así interroga a todas las máquinas de la red hasta que le respondan y encuentre el router. Por lo tanto, no me parece tan exagerado las 8 solicitudes. Después creo que estamos más o menos al mismo nivel escolar, así que te remito al sitio del cero que te explicará todo esto mejor en detalle ;)
https://openclassrooms.com/fr/courses
--
Técnico informático y amante de las fiestas, la informática y el Hardcore son mi vida :)
Hola
Mis recuerdos de red están lejanos, pero me parece mucho, ¿no tienes una nueva dirección MAC para asociar 8 veces por segundo, verdad?
--
En cuanto a esos feroces soldados, lo digo, no es para chismear,
pero solo se dedican a rugir en nuestros campos.
-Pierre Desproges-
Mis recuerdos de red están lejanos, pero me parece mucho, ¿no tienes una nueva dirección MAC para asociar 8 veces por segundo, verdad?
--
En cuanto a esos feroces soldados, lo digo, no es para chismear,
pero solo se dedican a rugir en nuestros campos.
-Pierre Desproges-
Gracias por tus respuestas,
Sé lo que hace el protocolo ARP, pero no sé cómo se gestiona en un dominio AD, ya he mirado si las direcciones MAC correspondían bien a la máquina correcta, no hay problemas con eso.
@ Pierrecastor, de hecho, cada servidor realiza un escaneo completo de la red en bucle.
ejemplo:
1 0.309703 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.50? Dile a 10.1.0.2
2 0.309726 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.58? Dile a 10.1.0.2
3 0.309795 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.67? Dile a 10.1.0.2
4 0.309802 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.70? Dile a 10.1.0.2
También hay muchos Gratuitous ARP de los cuales no entiendo bien el principio.
2 0.130740 3com_f7:71:17 Broadcast ARP Gratuitous ARP para 10.1.0.245 (Solicitud)
Sé lo que hace el protocolo ARP, pero no sé cómo se gestiona en un dominio AD, ya he mirado si las direcciones MAC correspondían bien a la máquina correcta, no hay problemas con eso.
@ Pierrecastor, de hecho, cada servidor realiza un escaneo completo de la red en bucle.
ejemplo:
1 0.309703 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.50? Dile a 10.1.0.2
2 0.309726 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.58? Dile a 10.1.0.2
3 0.309795 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.67? Dile a 10.1.0.2
4 0.309802 Supermic_12:43:23 Broadcast ARP ¿Quién tiene 10.1.0.70? Dile a 10.1.0.2
También hay muchos Gratuitous ARP de los cuales no entiendo bien el principio.
2 0.130740 3com_f7:71:17 Broadcast ARP Gratuitous ARP para 10.1.0.245 (Solicitud)
Gracias por tu respuesta jojo,
Dejé Wireshark corriendo durante 1 hora, y son varios servidores los que hacen las peticiones haciendo cada uno un chequeo de todas las direcciones en la red.
También vi bastante ARP gratuito emanando de un Switch, no sé si es la causa del problema. (+/- 1 por segundo)
4417 141.663577 3com_f7:91:85 Broadcast ARP ARP gratuito para 10.1.0.245 (Solicitud)
Dejé Wireshark corriendo durante 1 hora, y son varios servidores los que hacen las peticiones haciendo cada uno un chequeo de todas las direcciones en la red.
También vi bastante ARP gratuito emanando de un Switch, no sé si es la causa del problema. (+/- 1 por segundo)
4417 141.663577 3com_f7:91:85 Broadcast ARP ARP gratuito para 10.1.0.245 (Solicitud)
aie,
el ARP gratuitous me hace pensar inmediatamente en un ataque, pero bueno, también puede ser tráfico legítimo, puede ser utilizado por un equipo para presentarse en la red con el fin de detectar un conflicto de IP.
Después, es normal tener ARP en una red, pero todo depende de la frecuencia, el número de hosts en la red, etc.
Es curioso que sea tu switch el que genera el ARP gratuitous, ¿es un switch de nivel 3?
Después, el ARP son pequeños paquetes poco exigentes, pero sé que puede hacer caer una red, creo que tu tráfico ARP es legítimo, aunque es difícil decirlo sin haber visto los registros, etc., sin conocer la red...
Mañana miraré en el trabajo la frecuencia de las solicitudes ARP a partir de un router, por ejemplo, lo que tengo en relación a tus 8 solicitudes/seg.
el ARP gratuitous me hace pensar inmediatamente en un ataque, pero bueno, también puede ser tráfico legítimo, puede ser utilizado por un equipo para presentarse en la red con el fin de detectar un conflicto de IP.
Después, es normal tener ARP en una red, pero todo depende de la frecuencia, el número de hosts en la red, etc.
Es curioso que sea tu switch el que genera el ARP gratuitous, ¿es un switch de nivel 3?
Después, el ARP son pequeños paquetes poco exigentes, pero sé que puede hacer caer una red, creo que tu tráfico ARP es legítimo, aunque es difícil decirlo sin haber visto los registros, etc., sin conocer la red...
Mañana miraré en el trabajo la frecuencia de las solicitudes ARP a partir de un router, por ejemplo, lo que tengo en relación a tus 8 solicitudes/seg.
He hecho una prueba por curiosidad en una computadora,
Al iniciar Wireshark en una PC que dialoga constantemente con otro host, se lanza una solicitud ARP hacia él cada 25 segundos.
Por supuesto, si limpio mi caché ARP en la máquina, al mismo tiempo se envía una nueva solicitud.
Si el flujo ARP provenía de un solo host, podría entenderse, pero aquí de todos los servidores hacia todas las máquinas de la red...
¿Desde dónde iniciaste tu Wireshark?
Al iniciar Wireshark en una PC que dialoga constantemente con otro host, se lanza una solicitud ARP hacia él cada 25 segundos.
Por supuesto, si limpio mi caché ARP en la máquina, al mismo tiempo se envía una nueva solicitud.
Si el flujo ARP provenía de un solo host, podría entenderse, pero aquí de todos los servidores hacia todas las máquinas de la red...
¿Desde dónde iniciaste tu Wireshark?