我的子网是10.162.0.0/16。
我们有一个有几个接口的路由器。
我的子网的网关是10.162.0.1 。
路由器位于另一个build筑物,我没有直接访问它。 从路由器线到我的主要二层交换机D-Link DES-3550(10.162.0.250)和其他部分的子网连接到此交换机。
networking在短时间内运行良好(5-20分钟),然后开始“ 攻击 ”,并循环重复。
如何“ 攻击 ”看起来:
通过Wireshark我可以看到路由器(10.162.0.1)不间断的ARP请求从我的子网,如一个或几个地址
10.162.0.1广播ARP 60谁有10.162.8.75? 告诉10.162.0.1
但是,当我尝试ping地址,为哪个路由器请求ARP,他们不回答,所以他们不在线,或者我们甚至没有这样的地址。
我已经把我的计算机中的一个地址分配给了ARPed。 我的机器应答ARP并发送我的Mac。 但是路由器并不关心,并继续发送ARP。
路由器每秒发送大约10.000 – 25.000个ARP。 所以甚至不可能从我的子网中的任何一台计算机ping到10.162.0.1。 有时候,我的主交换机(10.162.0.250)不能ping或延迟约3秒。
当我重新启动交换机(10.162.0.250)或断开它的一些端口时(在大多数情况下断开10和11端口的帮助,所以可能发生某些事情),攻击停止。 当下一个攻击开始时,ARP请求已经是其他的了。 它似乎随机select地址到ARP。
为什么路由器可以发送ARP? 它可以从其他子网攻击路由器comuper? 如果源是从我们的子网的计算机,那么为什么路由器发送ARP(不能理解这个)? 我该如何解决呢? 谢谢。
检查你是否有一个循环。
当交换机收到广播报文(如ARP)时,通过所有端口发送出去。 如果你有一个环形电缆(从同一个广播域中的一个端口到另一个端口),那个数据包将返回到交换机,并通过所有端口再次广播(并再次返回,再次,…)。
因此,基本上,检查在同一个交换机上是否有从一个端口到另一个端口的电缆,或连接到第一个交换机的另一个交换机,并断开它。 如果你有pipe理交换机,你应该启用(r)STP来避免这样的问题 – 启用STP后,实际上可以通过一个循环实现冗余 – 但是当所有function正常时,一个连接将被交换机本身禁用)。
你的问题不是路由器每秒25,000包ARPing,你的以太网二层拓扑结构中有一个循环。
如果你正在运行生成树,这是一个体面的开始阻止循环,但是一些条件可能会导致生成树,以允许形成循环(如单向以太网链接,这将丢弃BPDU)。
你需要find循环的地方。 很多时候在某人的桌子上或者会议室里,有人用枢纽把两个部分连接在一起。
确保您已在所有交换机上正确configuration了快速生成树或多生成树。 风暴控制是有帮助的,如果你的交换机支持它。
那么,我已经使用二进制search:)在我的主开关(10.162.0.250)顺序断开端口。 所以我find了问题所在的楼层数量。 然后用地板上的开关做同样的动作,我find了房间。 我还没有find任何循环。
原来,一个Wi-Fi路由器正在打破我所有的networking。 我最近没有解释为什么这样做。 因为所有不必要的function都被closures了,实际上它是作为无线交换机(作为一个桥梁)工作的。 你有什么想法吗?
有完全相同的问题。 20,000多个ARP请求。 networking中没有环路。 原因是一个雷击威力飙升,弄乱了路由器。 更换路由器,问题就消失了。
路由器可能正在检查其DHCP项目范围内的未知/自我声明的IP地址,但很可能您有一个设备尝试以高速率与IP地址10.162.8.75进行通信,并且您的路由器正在尝试查找地址。
我遇到了这样一种情况:路由器发送了一系列针对LAN上不存在的IP地址的ARP请求(10.0.0.30-10.0.0.50)。 我怀疑networking上的设备正在尝试与这些IP地址进行通信。 我将交换机和路由器之间的以太网stream量镜像到另一个端口,以监视从有线局域网到路由器的所有请求。 罪魁祸首最终成为一个佳能打印机/扫描仪networking工具,锤击路由器的请求到这些IP地址不存在。