好吧,这是我知道的一个愚蠢的问题,但忍耐着我。 我开始了一个新的工作,networking非常糟糕,在傻瓜交换机上有一堆傻瓜交换机。 我们正在运行一个10.networking,但是在我的networking上有192个networking,它不断的发送出arp请求的人以及其他的igmp包。 wireshark给我的MAC地址,但多数民众赞成在它。 有没有办法我可以假装谁的请求,以便我可以尝试find这台机器的答案?
当我们的第三方支持人员改变了我们networking的子网时,这个问题就开始了,因为剩下的IP地址很less。 我们这里的所有工作站目前都在Windows 7 64位上运行,现在有一些工作站在任务pipe理器上运行了ARP.exe,消耗了大量的CPU资源。 我们已经重新启动了非托pipe的Cisco交换机来刷新ARP表,但问题仍然存在。
那么arp -a命令是做什么的? 我已经告诉它显示了计算机上所有网卡的MAC地址,但是当我运行它时,它显示了三个IP(192.168.41.1,.6和.8(24位子网掩码))的三个MAC。 。 我假设第一个是路由器,但其他两个是什么?
所以我有一个代理设置使用端口3128鱿鱼。 我也有ettercap设置。 我的主要目标是改变数据stream经我的代理。 基本上,你打开www.something.com使用我的代理,它显示“拉拉”,我想改变“拉拉”使用ettercap,到“lala2”例如。 任何命令行提示,以实现这一目标? 这不是我所知道的MITM ARP程序。
首先是一个小背景:在所讨论的(隔离的)/ 16局域网上,我们有几个设备在它们之间保持多个持续的TCP连接。 这些TCP连接的每一端的程序每两秒向其伙伴发送一次“心跳”数据包; 并且每个程序都会跟踪上次收到心跳的时间:如果它没有收到心跳包,持续4秒钟,则数字出错,closuresTCP连接,向用户报告问题,然后尝试重新build立连接。 在这个LAN上也是一个定期运行以下命令的Linux机器: /usr/bin/arp-scan –interface=bond0:2 –localnet –bandwidth=2560 这样做是为了确定LAN上是否有任何重复的IPv4地址; 如果是这样,它会向用户报告问题。 这很好,除了偶尔(例如每隔几天一次),我们会因为没有明显的原因而得到心跳超时,并且有人猜测arp扫描可能会干扰TCPstream量,使得心跳得到保留closures足够长的时间以触发4秒的超时。 这些事件经常发生在晚上,当局域网或多或less空闲(当然除了心跳包和arp扫描)。 当这些事件发生时,TCP连接总是立即成功地重新build立,但是由此产生的错误信息使得用户感到紧张,所以我想弄清楚这里发生了什么。 我的问题是:arp-scan的扫描机制是否充分侵入,可能是这里的罪魁祸首? 请注意,我们提供了–bandwidth = 2560参数,以便在扫描期间不应占用大量的带宽; 但也许arp数据包导致arp IP地址caching刷新,或类似的东西?
我试图在networking上运行ARP欺骗。 我已经做了大约一个星期的工作,而且我发现的所有信息都是2000 – 2001年。 我的问题是,在另一个networking上testing了一个在一个networking上使用arpspoof的脚本(或多或less地工作正常)之后,它似乎根本无法工作。 似乎没有任何redirect。 我的问题是,由于我找不到任何新的信息,我开始认为ARP是旧的,过时的技术,由于它的脆弱性而被放弃了。 我想要有人告诉我我错了。 否则,networking是否有可能使用arp欺骗的一些保护措施? 如果是这样,它是如何工作的,是否有解决方法? 非常感谢您的宝贵时间!
我的雇主从一家公有的在线ISP订购基于光纤的租用互联网。 ISPpipe理员说,他不能给一个大于/30的子网,因为他担心ISP边缘路由器会变得不稳定,并且由于大型子网的ARP广播而开始重新启动。 但是我非常需要一个/29子网。 我告诉他,ARP泛滥只影响交换机而不影响路由器。 但他表示,ISP边缘路由器通常会被已分配较大子网的客户的ARP广播泛滥。 据他多次说,重启只是因为它。 直接从边缘路由器分配的最大子网是/28 。 没有一个客户的带宽超过20Mbps。 路由器是Cisco 7500系列。 我相信ARP广播泛滥永远不会导致重启。 我需要说服他,ARP广播不影响路由器,不知何故我应该得到/29子网。 那么,在这种奇怪的情况下采取最好的措施是什么? 编辑1:一年来,我有一个/29子网从相同的IP。 由于预算的限制,我只能从我的雇主那里得到一个服务器(带有6个以太网接口)作为服务器和路由器(与Ubuntu服务器)。 由于我的用户(从局域网浏览互联网)访问狡猾的网站,我在一个接口上设置一个pub /29 ip从/29子网到本地局域网的NATingstream量为我的用户。 我在另外一个接口上使用了另外一个IP地址,通过这个接口我托pipe了一些网站(我使用iproute2的策略路由从interface / ip发送我的网站,这与LAN用户使用的pub ip不同)。 这样做只是为了避免域名相关的IP被列入黑名单/探测如果局域网用户浏览有相同的IP的dodgy网站。 而且我还使用另一个接口上的另一个pub ip将NATstream量传送给另一个单独的用户组。 现在我要从同一个ISP那里购买一个3倍的更快的链接,为此我必须使用单独的pub ip子网。 他们事先告诉我,我只能用一个/30子网连接到ISP,但是我可能会得到一个通过/30子网路由的/30子网。 这个设置需要一个新的路由器,我不想要。 更重要的是,我将会错过我使用一台服务器的一切。 或者有一种方法可以使用同一路由器上的/30和/29子网的IP(因为路由器有多个接口)? 在我住的城市里,所有的ISP(甚至是一级ISP)只提供与/30子网的直接连接。 如果我们要求更多的ips,他们会得到一个通过先前提供的/30子网路由的/30子网。 而且每个人都担心ARP边缘路由器泛滥。 导致路由器重新启动的ARP泛滥似乎是一个没有根据的城市神话。 编辑2:在我目前的/29子网我用tcpdump来听取ARP请求/答复。 /29 (ISP的边缘路由器)的网关用它的MAC回复许多10.xxx,172.xxx和192.xxx地址。 一个小时内,有100多个不同的IP地址被广告(尽pipe没有这些地址的请求)。 每次它是相同的MAC地址,相同的一个为我/29网关IP。 好像他们过度使用代理ARP。 这会影响其边缘路由器的性能吗?
我想让我的linux内核被动地监听(学习)局域网段(arp请求中的arp请求不是为了我)而广播的arp请求。 有没有可用的configuration?
CentOS主机装有多个网卡。 所有的网卡绑定到相同的子networking(让它是10.0.0.0/24)。 他们的IPconfiguration与DHCP服务器一起提供(作为保留)。 当试图远程获取属于某个特定网卡的某个特定IP地址(来自Windows主机的arp -a )的ARP条目时,我总是得到相同的MAC地址,这等于主机的第一个接口MAC地址(eth0)真正的适配器的MAC。 例: adapter, ip, mac, arpcache entry: eth0, 10.0.0.1, aa:aa:aa:aa:aa:00, aa-aa-aa-aa-aa-00 eth1, 10.0.0.2, aa:aa:aa:aa:aa:11, aa-aa-aa-aa-aa-00 eth2, 10.0.0.3, aa:aa:aa:aa:aa:22, aa-aa-aa-aa-aa-00 … 对于类似configuration的Windows主机,我为不同的适配器获得不同的MAC(根据适配器的configuration)。 为什么Linux主机响应单个MAC? 为什么Windows主机的行为方式相反? 这种行为的原因是什么? 如何configuration当前的主要Linux发行版以使用不同的MAC进行响应? 我已经阅读了类似的话题Ubuntu的Linux – 多个网卡,相同的LAN … ARP响应总是出去一个网卡 ,但build议的答案不适用于我的CentOS 6.4主机 – 适配器以上的eth0变得无法访问。
由于带宽缓慢,我一直在监视我们的局域网设置。 在wireshark中,我看到一个永远不会从同一个IP地址parsing成MAC地址的ARP请求。 我做了NMAP扫描,请求的IP地址不在networking上。 有没有人有什么可能会导致过多的ARP请求的build议? 另外,是否会大幅拉低带宽?