Máquinas nuevas atacan la red de nuestros clientes (Tarjeta Intel i217 driver genera tráfico IP V6)

 La red de aproximadamente 600 máquinas, presentaba caídas que afectaban la telefonía y bloqueos en algunos Swithces que se apagaban y debían ser reiniciados para continuar con la operación.  El problema era de difícil diagnóstico, ya que era intermitente y no seguía un patrón fijo.   Descartamos el tema de virus;  revisamos el cableado, allí se encontraron algunos errores pero las caídas continuaban, se pensó que los swithces pudieran estar obsoletos, pero no fue el caso, se actualizó el firmware de los switches, tanto de borde como de core,  se incrementó y afinó el monitoreo de la red; pero el problema persistía….

Decidimos entonces, introducir un Sniffer para ver que sucedía en la red, ya que hasta el momento no habíamos detectado la causa del problema y después de un análisis profundo de las tramas detectamos un tráfico Multicast en versión IP V6 desde algunas de las estaciones de trabajo.   Este tráfico Muticast y broadcast era muy intenso, de tal suerte que llegaba a colapsar los switches.   Nuestros ingenieros investigaron qué podría estar ocasionando este tráfico y qué tenían en común las estaciones que generaban dicho tráfico y se logró identificar que eran máquinas Lenovo, tanto desktop como Laptops, que venían dotadas de tarjetas Intel i217-V  e Intel i217-LM.     En un cyberforo técnico pudieron constatar que otros clientes habían tenido problemas similares con alto tráfico  y describían un problema muy similar.    Procedimos a actualizar el driver de dichas tarjetas y se logró resolver el problema.    Resulta que el driver tenía un BUG que tan pronto la máquina se iba a hibernación,  empezaba a generar un alto trafico de tipo IPV6,  el artículo describía además que las tarjetas no solo generaban tráfico IP V6  sino que respondían a este tráfico con más paquetes de tal suerte que, 2 o más máquinas con tarjetas Intel i217 sobre la misma red, empezaban a generar una verdadera tormenta IPV6  pues, cada que recibían un paquete generaban otro de respuesta y así se retroalimentaban hasta tumbar la red.

Tarjeta Intel i217-V

Parte de lo que nos preguntábamos tratando de diagnosticar era : ¿Qué ha cambiando en la red?  pero en teoría nada había cambiado en ella,  cuando introducimos máquinas nuevas a una red, no lo tomamos como un cambio, pues, es una labor rutinaria de crecimiento, pero en realidad podemos estar introduciendo nuevas vulnerabilidades sin darnos cuenta y en este caso a medida que entraban más máquinas como parte de la renovación tecnológica el problema empeoraba,  y mientras redoblabamos esfuerzos de remediación y diagnóstico,  entraban más máquinas nuevas silenciosamente a empeorar el problema.

Recomendaciones y acciones:  Validar si en las redes se encuentran máquinas con este tipo de tarjetas de red,  no solo Lenovo sino otros fabricantes reconocidos utilizan tarjetas Intel i217 en sus máquinas.  Si requieren más información sobre el tema pueden visitar el enlace del foro que nos permitió finalizar nuestro diagnóstico.

Para los que les gusta el Wireshark, pueden evidenciar  la saturación de la red con los paquetes IPV6 generados por el driver defectuoso.

caputra de wireshare

 

La solución al problema es sencilla,  basta actualizar el driver a la última versión donde ya Intel automáticamente resuelva el tema.

 

 

 

 

 

 

 

 





Este formulario permite a nuestros clientes actuales con contrato de soporte vigente, solicitar visitas en sitio o soporte remoto por incidentes. Para recibir soporte deberá vincularse primero como cliente y firmar una solicitud formal de servicio.


La atención a estos requerimientos se recibirá únicamente dentro del horario Lunes a Viernes de 8 a.m. a 6 p.m. Excluyendo festivos.


*Todos los campos son requeridos

Nombre completo
Empresa
Teléfono
Extensión
Su e-mail
Nivel de urgencia

Producto involucrado
Versión
Descripción de la situación
 

-->