xu言:
最近生了一場病,雖然不是給自己找理由不寫。不過果不其然還是沒有堅持每天發一篇啊。不過,有時間我還是會把一些有意思的事情記錄下來。以作備忘吧。這人老了記性就不好了。哈哈哈,當然,也側面說明了。做一件小事,堅持很重要。當然,比堅持更重要的是思路和方法。
昨日,無意在公司開了一下Xarp工具(高級ARP欺騙檢測工具)。 = 。=之前做實驗發現的一個工具,自己感覺用起來還不錯。突然發現了大量頻繁的某mac地址和某ip在發送ARP包:
對應提示的IP地址是192.168.137.135 (ip地址和mac均載局網內找不到) 從ip地址結構來看,類似安裝了虛擬機分配的一個臨時ip地址
奇怪的事,內網我在核心華為交換機上 dis arp all | incl <mac節略部分> 僅查到一個相仿的2個mac地址
90-b1-1c-26-00-e1 (dell服務器em1網卡)
90-b1-1c-26-00-e2 (dell服務器em2網卡)
所以,排查思路首先定位到相仿的一台Dell服務器上面:從網卡命名規律來看,應該是這台dell服務器的第三張網卡.
然而...這服務器僅僅只有2張物理網卡!!!
這就“靈異”了。。。
本着打破砂鍋問到底的精神,嘗試設置了一個和192.168.137.x同段的ip地址去ping,還真能ping通。。然后使用nmap去查也並未有收獲。
突然,思路就想把這台相仿的服務器網卡拔掉看看。
果然,拔掉em1的物理網卡的時候。192.168.137.135出現的丟包。證明物理接口給這個詭異的ip和mac提供底層。
然后,這個服務器上安裝的是一個centos6.9的系統,尋找到權限后繼續排查。從網卡配置文件上看到了這個“靈異”MAC
為了確認這個MAC地址是否為初始的mac還查看了cat /etc/udev/rules.d/70-persistent-net.rules 這個配置文件
發現應該是人為做“橋接”模式的時候修改的這個mac地址。
MAC修改回來后,把服務器做了一次關機。然后重新開啟,局網內沒有再見到發送ARP包。
后續研究:
后來對本次的局網的ARP報進行了下查詢
Gratuitous ARP也稱為免費ARP。無故ARP。Gratuitous ARP不同於一般的ARP請求,它並不是期待得到IP相應的MAC地址,而是當主機啟動的時候,將發送一個Gratuitous arp請求,即請求自己的IP地址的MAC地址。
也就是說,正常情況下為了檢測ip地址沖突,在主機啟動的時候會發送一個這個包。像我發現的這種大量的包,應該就是出現了異常。
Sum:
1.回顧了下Tcpdump 和 wireshare的使用
2.排查思路上,針對發現局網內出現的這種“靈異”mac地址。也始終要相信“電腦不會撒謊”,問題事在人為!
3.對於異常的網絡數據包,一定要追究其真相。整個過程也是學習思考的一個很重要的過程。
參考資料:
https://www.cnblogs.com/gavanwanggw/p/6721384.html
https://www.cnblogs.com/f-ck-need-u/p/7064286.html