我的Windows 2008服务器启动了与一个目标MAC地址对话的TCP会话,但在TCP会话中间开始发送数据包到另一个目标MAC地址,然后最终切换回来。 有什么想法/想法可能导致这个? 发送服务器和目标主机都在同一个子网上。 当我在服务器上为IP设置静态ARP条目时,问题似乎得到解决。
我试图让两个虚拟机(运行CentOS)与使用VDE和外部networking的主机(Ubuntu 10.04)对话。 到目前为止,我遇到了一个ARP问题。 在主机上,我有一个物理eth0和一个虚拟的tap0接口桥接br0。 全部在相同的子网上。 br0 Link encap:Ethernet HWaddr 78:e3:b5:90:88:df inet addr:172.16.1.3 Bcast:172.255.255.255 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:10 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:1381 (1.3 KB) br0:1 Link encap:Ethernet HWaddr 78:e3:b5:90:88:df inet addr:172.16.1.4 Bcast:172.255.255.255 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST […]
在之前的问题中 ,我试图确定为什么我的OpenVPN客户端无法ping通服务器LAN,尽pipe服务器LAN可以ping客户端。 在进一步调查之后,我确定至less在其中一个服务器的情况下,内核决定将包含ping应答的以太网帧转发到不知道MAC地址的方向如何路由数据包。 所以,例如: 10.11.11.7 de:ad:be:7f:45:72 10.11.11.1 00:10:db:ff:70:01 10.11.11.2 de:ad:be:3b:24:48 平板从10.11.11.7到10.8.0.10工作。 从10.8.0.10到10.11.11.7的Ping请求按预期到达,但答复从未达到10.8.0.10,这显然是因为它们是按照10.11.11.1而不是10.11.11.2路由的,而10.11.11.2包含可以路由到10.8.0.0的VPN服务器/ 24。 例如: 当我尝试从10.11.11.7开始ping 10.8.0.10时,请求将在包含10.11.11.2的接口上出现,其中包含可以达到10.8.0.10的VPN网关。 01:46:39.973670 de:ad:be:7f:45:72 > de:ad:be:3b:24:48, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: ICMP (1), length: 84) 10.11.11.7 > 10.8.0.10: ICMP echo request, id 49247, seq 6, length 64 0x0000: 4500 0054 […]
我希望问题是清楚的,这是发布这个问题的正确的地方。 我的路由器反复广播相同的ARP帧(每秒一次)。 这可能不是什么大不了的事情,但我想知道这里发生了什么。 根据Wireshark的请求信息是:“谁有10.1.1.111?告诉10.1.1.1” 这是很奇怪的,因为唯一被占用的IP地址高达10.1.1.8 谢谢。
我有这样的怀疑,我感到很惭愧,所以有一个问题:为什么我没有连接? 情况很简单,我已经configuration了拓扑结构,并且在每台PC和相应的网关之间build立了连接。 问题是当我尝试ping PC1到PC0等另一个networking中的设备时,发生下一个事件 PC1广播ARP来知道R0的MAC网关 R0回复ARP到PC1 PC1发送icmp包R0 R0广播ARP来知道PC0的MAC PC0不答复,因为“ARP请求的发件人IP地址在与接收端口不同的networking中”。 所以我想知道为什么PC0不回复? 这是ARP的基本function? 显然,我configuration了2个静态路由(每个路由器上有一个路由器)将数据包路由到同一接口上的另一个networking。 on R1 : ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 on R0 : ip route 172.16.200.0 255.255.255.0 FastEthernet0/0 非常感谢您的回答! =========================(EDIT)UPDATE / ANSWER =================== ============= 在阅读RFC之后,我明白为什么这是行不通的。 那很简单,ARP还没有被开发/devise来响应(回复)来自另一个networking的请求。 在这种情况下,我强制转发(通过静态路由)到路由器不属于的networking。 在一些文档中,他们说这个协议是在第2层和第3层(第2.5层的LOL)之间的,但实际上他从来没有在第3层上发送关于第3层的信息。 所以当一个设备收到来自另一个networking的ARP请求时,他处理该帧(这是她翻译的帧中的IP),并在另一个networking中看到ARP请求发送者IP自动丢弃该帧。 为了在另一个networking中做一个ARP请求,我们需要一个设备Layer3作为一个ARP代理,他只需要转发arp的请求和回复,显然在每个networking上都有连接。 这是一个奇怪的devise,有点愚蠢,但更多地了解ARP / LAN的。 我想对那些回应并尝试帮助的人表示感谢。
我以为arpspoof GATEWAY_IP -t VICTIM_IP可以通过添加一个静态ARP条目在受害方,即arp -s GATEWAY_IP GATEWAY_MAC 我读了https://superuser.com/questions/17696/what-happens-when-two-pcs-have-the-same-mac-adress ,但我还是想知道坏人该怎么做: macchanger -m GATEWAY_MAC eth0 它能够绕过静态ARP进入保护? 究竟会发生什么地下? 任何文档/资源都可以解释这种情况?
我的Linux机器上有两个混杂的嗅探接口: eth0连接到外部vlan桥 eth1连接到内部vlan桥 与eth0我可以嗅探我的“外部networking”与eth1上的所有stream量我可以嗅探我的“内部networking”上的所有stream量 然后,我用brctl(br0)创build了一个桥,并将这两个接口添加到这个桥。 现在,我可以直接从br0中嗅出所有显示在eth1和eth2上的数据包,从而使我不得不启动两个snort实例。 我的问题是,现在在eth0上显示的arp和多播数据包被复制到br0并转发到eth1。 有没有办法使这两个接口都将所有数据包复制到br0上,但是决不允许br0转发任何数据包,eth0或eth1也不能响应它们?
在C中使用pcap_sendpacket ,我手动发送以下数据包在wlan0 (我已经省略了一些字段,但我认为他们是正确的): (Ethernet layer) eth src: <wlan0 MAC address> eth dest: <wireless router MAC address> (ARP request layer) opcode: 1 (Request) sender_hw: <wlan0 MAC address> sender_proto: 192.168.1.3 (IP of wlan0) target_hw: 0 (per usual) target_proto: 173.194.46.72 (Google.com) 使用Wireshark来监听wlan0 ,我希望看到一个ARP答复给我一个Google服务器的MAC地址。 但是,我没有看到任何包含Google IP的ARP答复。 有一点需要注意的是,我正在通过截获发送给虚拟networking接口的ARP请求(在我使用虚拟networking空间内的ping命令时生成数据包)来构build这个数据包,然后重写数据包并使用wlan0注入pcap ,以便我可以稍后获得ARP答复并将其转发回虚拟networking。 这就是为什么我相对有信心,包中的其他领域是正确的,因为我真的没有修改它们。 有谁知道这里可能是什么问题? 我注意到的一件事是,我没有我的路由器的IP地址(192.168.1.1)在该数据包的任何地方; 不确定我是否需要这个。
我有一个基本的networking设置,只是做NAT到一个单一的公共地址到内部/ 24没有任何VLAN或花哨的路由。 我的路由器和交换机都运行Cisco IOS 12.x. 我的configuration是非常小的。 这是问题: 从路由器,我可以成功地ping本地networking或互联网上的任何设备没有任何损失。 但是,从交换机或连接到交换机的任何设备,第一个外部ping将总是失败。 有什么build议么? 以下是引起我好奇心的一些例子。 从这个networking上的Linux主机: #ping -c 5 4.2.2.1 PING 4.2.2.1 (4.2.2.1) 56(84) bytes of data. 64 bytes from 4.2.2.1: icmp_seq=2 ttl=55 time=9.11 ms 64 bytes from 4.2.2.1: icmp_seq=3 ttl=55 time=10.1 ms 64 bytes from 4.2.2.1: icmp_seq=4 ttl=55 time=10.8 ms 64 bytes from 4.2.2.1: icmp_seq=5 ttl=55 time=9.80 ms […]
在我的ESXi 5.5主机上,我有3个VLAN加上一个pipe理(非VLAN)局域网。 当我打印arpcaching(如下所示)时,我注意到只有pipe理LAN地址显示(192.168.1.x)。 如何让ESXi显示其他VLAN的arp条目? ~ # esxcli network ip neighbor list Neighbor Mac Address Vmknic Expiry State Type ————- —————– —— ——– —– ——- 192.168.1.73 00:24:d7:97:5f:f9 vmk0 1188 sec Unknown 192.168.1.1 d4:ca:6d:34:db:57 vmk0 963 sec Unknown 192.168.1.2 a0:cf:5b:e7:19:d6 vmk0 831 sec Unknown 192.168.1.29 00:0c:29:f0:36:a5 vmk0 1168 sec Unknown 192.168.1.31 00:0c:29:11:6a:34 vmk0 1183 sec Unknown 192.168.1.20 […]