在这个问题上,我遇到了类似的问题, 关于局域网中的错误的IP 。 但是,NIC上的标准addr别名技巧并没有帮助。 我没有直接访问服务器控制台,如果幸运的话,我可能会在一周或更长时间内获得物理访问权限,但我希望能find更快的方法。 我可以在服务器(Linux,地址$MY_IP IP $MY_IP )的地址10.0.0.1上(假定是)在相同的L2网段上对(Linux)服务器进行$MY_IP ,并使用$TARGET_MAC作为该服务器的正确MAC地址 root@host:~# arping -c 3 -I $IFACE 10.0.0.1 ARPING 10.0.0.1 from $MY_IP $IFACE Unicast reply from 10.0.0.1 [$TARGET_MAC] 0.746ms Unicast reply from 10.0.0.1 [$TARGET_MAC] 0.796ms Unicast reply from 10.0.0.1 [$TARGET_MAC] 0.807ms Sent 3 probes (1 broadcast(s)) Received 3 response(s) 我隐藏了我的IP和MAC,因为这些机器是公开访问的。 如果我为该接口添加一个地址别名,我仍然可以arping目标,但是我无法ping通它。 没有其他接口具有10.0.0.0/24范围,即使使用ping -I $IFACE也不会失败。 root@host:~# ip […]
我有一个CentOS 5系统,作为我的networking和几个远程networking之间的IPSec VPN连接器。 最近它每天都会遇到这个问题,每天有一两次ARPcaching被填满。 这个家伙所在的本地networking是10.51.0.0/16连接到10.53.0.0/16和10.54.0.0/16 。 它有2个接口, eth0连接到internet, eth1连接到本地networking,使用ip 10.51.1.15 。 ARPcaching被10.51.119.x这样的地址10.51.119.x ,似乎有条不紊地继续填充它。 我运行tcpdump的时候,发生了ARP请求,所有这些不存在的地址源于本地ip 10.51.1.15所以它几乎就像有人在做networking扫描,但我怎么知道它是从哪里来的? 它实际上不太可能来自盒子本身,没有人应该像它那样运行扫描,但它可能来自IPSecnetworking? 我怎么知道它来自哪里? 问题解决了:卡巴斯基杀毒软件在我们的networking上进行系统发现。
我有一个Nexus 5548UP中继到Catalyst 2960S。 我已经validation生成树正在工作。 我明确将2960S作为所有VLAN的根网桥,作为一种临时措施,因为它是通过一个ASA进行VLAN间路由(路由器即插即用)。 如果我运行debug ip arp event我得到如下消息: 2011 Dec 17 00:59:19.770605 arp: arp_process_receive_packet_msg: Destination address is not local 192.168.99.1 on Vlan99 这些肯定是通过干线,但我会想到,ARP表将列出干线端口作为该条目的端口。 Destination address is not local意思是什么? 为什么我的Nexus 5548UP不把干线的ARP条目添加到2960S,即使ARP帧是通过的?
反向ARP是..好,几乎死了,据我所知? 互联网成功故事中的一个很好的例子是杀死一个协议? 近三十年来,它已经被弃用,以支持BOOTP(以及后来的DHCP)。 所以,在PXE启动过程中,即使在通过DHCP获得完美的IP地址之后,我仍然有点惊讶地发现虚拟机无情地通过RARP请求IP地址。 在启动开始时,发送的第一个广播数据包是一个反向ARP数据包,紧接着是一个DHCP广播。 20:31:19.408086 ARP, Reverse Request who-is 00:0c:29:20:fd:ce tell 00:0c:29:20:fd:ce, length 46 20:31:19.441857 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:0c:29:20:fd:ce, length 548 20:31:19.443536 IP 192.168.100.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 显然,它不喜欢这第一个DHCP响应,因为它等待另一个(请注意,我只捕获广播数据包,所以tcpdump没有看到其余的DHCP会话),但不是在发送另外几个RARP请求之前: 20:31:19.935341 ARP, Reverse Request who-is 00:0c:29:20:fd:ce tell 00:0c:29:20:fd:ce, length 46 20:31:20.935426 ARP, Reverse Request who-is 00:0c:29:20:fd:ce tell 00:0c:29:20:fd:ce, length […]
我有一个思科交换机和networking上的大量服务器。 我需要确定哪些服务器直接连接到交换机。 在交换机的arp表(show ip arp)中search每个服务器的MAC地址会保证设备是直接连接的吗? 如果没有,有没有其他办法? 我可能也需要为思科路由器做同样的事情,我想答案是一样的。 请纠正我,如果我错了。 谢谢!
我正在尝试debuggingnetworking问题。 在这个过程中,我注意到当我尝试进行arping时,收到的arp包大于发送的arp包,由tcpdump输出。 (请注意,两端都有一个到eth1接口的br100桥)。 命令: # arping 10.40.0.5 -I br100 -c1 ARPING 10.40.0.5 from 10.40.0.1 br100 Sent 1 probes (1 broadcast(s)) Received 0 response(s) tcpdump(发件人): # tcpdump -nnvvXSs 1514 arp -i eth1 tcpdump: WARNING: eth1: no IPv4 address assigned tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 1514 bytes 21:32:29.529106 ARP, Ethernet (len 6), IPv4 […]
我一直在我公司的networking上进行一些嗅探,试图清理一些stream量,并注意到我们的Server 2008域控制器之一每隔一两秒就发送ARP到169.254.0.0/16的大约15个不同的地址子网。 域控制器位于10.10.0.0/23子网中。 任何人有任何想法可能会导致这些ARP? 据我所知,169.254.xx地址在networking上没有任何客户端,所以我不知道DC为什么要find它们。 该服务器有两个网卡,但只有其中一个连接。 昨天当我注意到ARPing是否会改变什么,但今天再次看不到它时,我禁用了未使用的NIC。 ipconfig / all输出是: Windows IP Configuration Host Name . . . . . . . . . . . . : server-snip Primary Dns Suffix . . . . . . . : snip.com Node Type . . . . . . . . . . . . […]
好吧,我已经search了可能的解决scheme,并没有发现。 也许你们可以帮助我 我有一个Windows Server 2003安装程序,在路由LAN,标准/ 24networking上具有固定IP。 服务器工作正常,除了一个相当重要的烦恼:它ARP扫描整个子网(除自己以外的所有256个地址)每隔20-30秒,128个地址的两个突发间隔10-15秒。 这会在我的LAN上造成不必要和过多的ARPstream量(如果局域网不被大量使用,则高达所有数据包的40%)。 发送的请求是带有广播MAC的标准ARP发现请求,以及LAN子网中的顺序IP地址(非免费)。 子网上的其他设备或机器都没有显示这种行为(Win XP,Win7,几个路由器等),所以它是Win Server 2003特有的。 如何阻止它不断地扫描子网的新MAC / IP组合? 我已经试过在NIC接口(在registry中)手动设置ARPcaching时间为600秒,但服务器完全忽略了这一点,显然。
在绝对标准的ubuntu-server linux发行版中只运行BINDcaching,有时我会在arp / nei表中看到非链接本地ip地址,并且没有办法与这些条目进行通信 早上大部分时间在Google上search后,我没有发现类似的问题,所以我认为这可能是我的设置有问题。 设置非常简单: 1个networking接口,1个vlan( eth0.264 ),1个ip地址,1个默认网关 – 没有别的 (对于这个问题 – 我用9.9.9.9replace我的IP地址,用9.9.9.9replace我的子网,用9.9.9.0/24replace我的例子) # uname -a Linux space 3.0.0-16-server #28-Ubuntu SMP Fri Jan 27 18:03:45 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux # ip a li 4: eth0.264@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 00:30:48:d5:c2:70 brd ff:ff:ff:ff:ff:ff inet 9.9.9.13/24 brd 9.9.9.255 scope global […]
我的子网是10.162.0.0/16。 我们有一个有几个接口的路由器。 我的子网的网关是10.162.0.1 。 路由器位于另一个build筑物,我没有直接访问它。 从路由器线到我的主要二层交换机D-Link DES-3550(10.162.0.250)和其他部分的子网连接到此交换机。 networking在短时间内运行良好(5-20分钟),然后开始“ 攻击 ”,并循环重复。 如何“ 攻击 ”看起来: 通过Wireshark我可以看到路由器(10.162.0.1)不间断的ARP请求从我的子网,如一个或几个地址 10.162.0.1广播ARP 60谁有10.162.8.75? 告诉10.162.0.1 但是,当我尝试ping地址,为哪个路由器请求ARP,他们不回答,所以他们不在线,或者我们甚至没有这样的地址。 我已经把我的计算机中的一个地址分配给了ARPed。 我的机器应答ARP并发送我的Mac。 但是路由器并不关心,并继续发送ARP。 路由器每秒发送大约10.000 – 25.000个ARP。 所以甚至不可能从我的子网中的任何一台计算机ping到10.162.0.1。 有时候,我的主交换机(10.162.0.250)不能ping或延迟约3秒。 当我重新启动交换机(10.162.0.250)或断开它的一些端口时(在大多数情况下断开10和11端口的帮助,所以可能发生某些事情),攻击停止。 当下一个攻击开始时,ARP请求已经是其他的了。 它似乎随机select地址到ARP。 为什么路由器可以发送ARP? 它可以从其他子网攻击路由器comuper? 如果源是从我们的子网的计算机,那么为什么路由器发送ARP(不能理解这个)? 我该如何解决呢? 谢谢。