我的公司networking非常不稳定。 ping到50ms或更高的网关需要很多时间。 我做了一些故障排查,找出原因。 当networking不稳定时,我必须尝试ARP扫描,并看到许多具有相同MAC地址的重复IP。 这是输出的一部分:
192.168.6.1 00:1d:xx:xx:xx:xx xxx Corp. 192.168.6.1 **e8:9a:xx:xx:xx:xx** Quanta Computer Inc. (DUP: 2) 192.168.6.4 0a:55:xx:xx:xx:xx (Unknown) 192.168.6.5 0a:55:xx:xx:xx:xx (Unknown) 192.168.6.10 64:66:xx:xx:xx:xx (Unknown) 192.168.6.29 50:e5:xx:xx:xx:xx GIGA-BYTE TECHNOLOGY CO.,LTD. 192.168.6.31 08:9e:xx:xx:xx:xx (Unknown) 192.168.6.38 30:65:xx:xx:xx:xx (Unknown) 192.168.6.38 **e8:9a:xx:xx:xx:xx** Quanta Computer Inc. (DUP: 2) 192.168.6.47 18:03:xx:xx:xx:xx Dell Inc 192.168.6.62 00:26:xx:xx:xx:xx Wistron Corporation 192.168.6.77 2a:91:xx:xx:xx:xx (Unknown) 192.168.6.78 e8:9a:xx:xx:xx:xx Quanta Computer Inc. 192.168.6.95 40:16:xx:xx:xx:xx (Unknown) 192.168.6.95 **e8:9a:xx:xx:xx:xx** Quanta Computer Inc. (DUP: 2) 192.168.6.110 40:16:xx:xx:xx:xx (Unknown) 我的网关是192.168.6.1。 所有重复的具有相同的MAC地址(**中的MAC)。 我认为这是一个伪造的MAC,因为我试图find机器,并closures它,但我的networking仍然不稳定。 我认为这是了解发生了什么的一个起点,但我正在继续。
考虑到你在上面的评论中列出的约束条件,你所能做的只是让一个ARPping运行到这个MAC地址,然后从开关设备中一个接一个地拔下(然后重新连接)networking导线,直到ARPping停止。
当ARPping停止的时候,这是最终导致有罪的一件套。 是的,这对networking运营是高度破坏性的; 企业将不得不作出是否坚持这个问题的决定或多或less具有破坏性而不是find它。
是的,我们都熟悉企业pipe理人员,他们只有在出现可怕的问题之前才会投入改进,然后他们希望立即修复这个问题。 对不起,你有这样一组经理, 他们是白痴。
这看起来很像是有人在做ARP欺骗来拦截stream量。 这也可能导致一些不稳定性,取决于拦截机器的行为方式,以及是否能跟上stream量。
MAC地址将与一个特定的硬件制造商有关,这可能会帮助你追踪它,但也可能是伪造的。
嫌疑人的MAC地址是否对应于任何非重复的ARPlogging? 它出现在networking不稳定的时期吗?
如果有人使用ARP欺骗来嗅探stream量,那么他们通过自己redirect该stream量。 很可能他们的连接非常繁忙,您可以从交换机上的闪光灯中挑选出来,然后按照电缆连接。
您可以在合法的盒子上部署arptables ,以便在您寻找托pipe交换机部署时过滤arpstream量。