Este es un caso bastante común. En una gran red en la que coexisten una gran multitud de equipos es muy probable que alguno de ellos presente este problema. El caso es que, de entre todos los equipos, mi equipo pierde conexión de red.
Sin embargo, para terminar de volverte loco esta pérdida de conexión de red no se produce siempre y lo que es peor sucede de forma aleatoria, es decir, el equipo alcanza a un determinado servidor pero no a otro. Tras reiniciar la conexión de red, quitar el conector ethernet o realizar cualquier acción que provoque volver a cargar la pila de protocolo tcp/ip el equipo vuelve a funcionar por unas horas.
Comienzas a mirar mal al antivirus e incluso al firewall de windows. El asunto comienza a tornarse marrón oscuro cuando el problema se sigue produciendo a pesar de haber cambiado el pc al usuario.
¿Qué es lo que está pasando? es muy sencillo, sencillamente alguien ha conectado algún dispositivo ip llamémosle simple que no cumple el protocolo estándar mínimo que se supone que deben seguir las redes conmutadas.
Cuando un dispositivo es conectado a una red éste debe anunciar mediante broadcast dos datos: ip y dirección MAC. Todos los equipos en la red, dentro del mismo segmento oyen el anuncio y apuntan en sus tablas de ARP la nueva información. Sin embargo, estas tablas ARP caducan con el tiempo por lo que continuamente los equipos de la red están lanzando consultas sobre quién tiene está MAC. Determinados equipos no cumplen estas especificaciones y cuando son conectados a la red no se preocupan de verificar si la ip que tienen configurada está en uso.
A estas alturas ya debes de tener una idea de lo que está sucediendo. Sencillamente existe un dispositivo conectado en el mismo segmento de red con la misma ip que el equipo que pierde la conexión. Cuando nuestro equipo pierde la conexión parcialmente, si listas las tablas de arp de los servidores con el siguiente comando:
arp -a
Verás que la misma ip está asociada a dos direcciones MAC distintas. Una será la MAC del equipo, llamémoslo legítimo, mientras que la otra será de algún elemento ip no muy listo que nos está envenenando la caché de arp.
¿Qué podemos hacer ahora? si tenemos la MAC del infiltrado podemos ir a esta web para intentar obtener más información acerca del fabricante. En este sitio podemos averiguar al menos el fabricante del equipo de la MAC infiltrada.
Image courtesy of [David Castillo Domici] / FreeDigitalPhotos.net