記一次排查局網內的ARP包 “不存在的” MAC 地址及 “不存在的”IP 所發的ARP包


xu言:

最近生了一場病,雖然不是給自己找理由不寫。不過果不其然還是沒有堅持每天發一篇啊。不過,有時間我還是會把一些有意思的事情記錄下來。以作備忘吧。這人老了記性就不好了。哈哈哈,當然,也側面說明了。做一件小事,堅持很重要。當然,比堅持更重要的是思路和方法。

 

  昨日,無意在公司開了一下Xarp工具(高級ARP欺騙檢測工具)。 = 。=之前做實驗發現的一個工具,自己感覺用起來還不錯。突然發現了大量頻繁的某mac地址和某ip在發送ARP包:

 

 

 

對應提示的IP地址是192.168.137.135 (ip地址和mac均載局網內找不到) 從ip地址結構來看,類似安裝了虛擬機分配的一個臨時ip地址

奇怪的事,內網我在核心華為交換機上 dis arp all | incl <mac節略部分> 僅查到一個相仿的2個mac地址

90-b1-1c-26-00-e1 (dell服務器em1網卡)

90-b1-1c-26-00-e2 (dell服務器em2網卡)

所以,排查思路首先定位到相仿的一台Dell服務器上面:從網卡命名規律來看,應該是這台dell服務器的第三張網卡.

然而...這服務器僅僅只有2張物理網卡!!!

這就“靈異”了。。。

本着打破砂鍋問到底的精神,嘗試設置了一個和192.168.137.x同段的ip地址去ping,還真能ping通。。然后使用nmap去查也並未有收獲。

突然,思路就想把這台相仿的服務器網卡拔掉看看。

果然,拔掉em1的物理網卡的時候。192.168.137.135出現的丟包。證明物理接口給這個詭異的ip和mac提供底層。

然后,這個服務器上安裝的是一個centos6.9的系統,尋找到權限后繼續排查。從網卡配置文件上看到了這個“靈異”MAC

 

為了確認這個MAC地址是否為初始的mac還查看了cat  /etc/udev/rules.d/70-persistent-net.rules 這個配置文件

發現應該是人為做“橋接”模式的時候修改的這個mac地址。

 

MAC修改回來后,把服務器做了一次關機。然后重新開啟,局網內沒有再見到發送ARP包。

 

后續研究:

后來對本次的局網的ARP報進行了下查詢

Gratuitous ARP也稱為免費ARP。無故ARP。Gratuitous ARP不同於一般的ARP請求,它並不是期待得到IP相應的MAC地址,而是當主機啟動的時候,將發送一個Gratuitous arp請求,即請求自己的IP地址的MAC地址。

也就是說,正常情況下為了檢測ip地址沖突,在主機啟動的時候會發送一個這個包。像我發現的這種大量的包,應該就是出現了異常。

 

Sum:

1.回顧了下Tcpdump 和 wireshare的使用

2.排查思路上,針對發現局網內出現的這種“靈異”mac地址。也始終要相信“電腦不會撒謊”,問題事在人為!

3.對於異常的網絡數據包,一定要追究其真相。整個過程也是學習思考的一個很重要的過程。

 

 參考資料:

https://www.cnblogs.com/gavanwanggw/p/6721384.html

https://www.cnblogs.com/f-ck-need-u/p/7064286.html

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM