一个关于arp的问题

oldjiang · 发表于 2008-11-5 10:47:12

按4#说的抓一天包看看
如果每次都是102这个地址，那就用单个地址的过滤器
过滤器，子网 or 单个地址 or arp，一起上
也有可能是虚拟机
如果交换机是可管理的，查看mac地址表还可以知道在哪个端口

[ 本帖最后由 oldjiang 于 2008-11-5 10:49 编辑 ]

newrain · 发表于 2008-11-5 10:57:24

抓了一天什麽也没有，虚拟机我觉得可能性不大，我这里用电脑的人的水平都很菜的，交换机就是最普通的tplink的，不是可网管型的

oldjiang · 发表于 2008-11-5 11:00:41

怎么部署的？路由器的型号？看看手册是否支持端口镜像
关于部署，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52288

[ 本帖最后由 oldjiang 于 2008-11-5 11:02 编辑 ]

xmubbs · 发表于 2008-11-5 11:03:39

说了半天，怎么也没见楼主说一下路由的掩码是多少

oldjiang · 发表于 2008-11-5 11:04:56

是哦，

xmubbs · 发表于 2008-11-5 11:08:08

假设

路由的地址是192。168。1。1/16

假设楼主的机器是192。168。1。X /24

假设有个机器的IP是192。168。0。102/24

那么会发生啥情况？呵呵

newrain · 发表于 2008-11-5 11:13:21

原帖由 xmubbs 于 2008-11-5 11:03 发表
说了半天，怎么也没见楼主说一下路由的掩码是多少

255.255.255.0

xmubbs · 发表于 2008-11-5 11:56:34

想来想去还是想不通，楼主确认掩码是255。255。255。0？或者再确认一下？

还有，路由是不是有多个内网IP？比如还有个192。168。0。1？

oldjiang · 发表于 2008-11-5 12:14:01

楼主这贴，已经难倒三个人

newrain · 发表于 2008-11-5 12:25:35

呵呵，确认只有1这个网段，掩码就是255.255.255.0，问题是这个出现的0.102我一直也没找到呀，公司的机器不多。

只是一个神话 · 发表于 2008-11-5 17:13:55

我觉得这个问题的重点不在是否有0.102这台机器，而在这个ARP请求的产生。

首先，ARP工作于第二层，那也就是说在同一网段中传输数据才会有ARP包的产生，如果跨网段了，那就要用到三层路由协议了。

所以，出现这种情况我觉得只有两个可能：1、人为或病毒因素。2、192.168.1.1和192.168.0.102在同一网段中。
1的可能性比较小，人为不大可能，病毒我也没见过这样的，也没听过。所以我觉得最大的可能是两者在同一网段中，按楼主所说掩码为24的情况下又怎样在同一网段中呢？断续思考！

只是一个神话 · 发表于 2008-11-5 17:16:37

楼主我需要数据包，就是出现“谁是192.168.0.102，告诉192.168.1.1”这种情况下的数据包，这个包非常重要，谢谢！

oldjiang · 发表于 2008-11-5 17:30:09

这才是做学问的！

newrain · 发表于 2008-11-6 17:00:41

上图

[ 本帖最后由 newrain 于 2008-11-6 17:02 编辑 ]

只是一个神话 · 发表于 2008-11-6 17:03:54

这么小的图

大哥你就不能放个数据包或是大点的图吗？

oldjiang · 发表于 2008-11-6 17:12:08

把工程文件打包传上来

只是一个神话 · 发表于 2008-11-6 17:28:56

答案就在楼主的数据包里，如果没有包，那这个问题无解或有太多解

oldjiang · 发表于 2008-11-6 17:42:19

如果工程文件里所有数据包的源IP或目标IP都不是102呢？

只是一个神话 · 发表于 2008-11-6 19:24:08

其实这个问题可以用反证法，假设不在同一网段下的机器要通信都要先用ARP解析，那么，我们只要一上网，用科来抓包就会有很多类似，谁是“225.234.233.211，告诉192.168.1.1”这样的ARP请求包，可事实上没有，至少我从不曾见到过。

也可以用另一种方式，假设本机IP为192.168.18.18/24，网关为192.168.18.1/24 mac为00-e0-11-61-db-9b，现在192.168.18.18要去ping 192.168.10.1/24，用arp -s命令把192.168.10.1和网关的MAC地址 00-e0-11-61-db-9b绑定起来，ping是否会通呢？答案是不会，所以不同网段之间的数据传输要通过三层，是以路由表为准的，不会用到MAC表，不用到MAC地址表那自然不会用到ARP请求了。

所以出现这种现象要么就是在同一网段中，要么是人为或病毒制造的包，当然还有一种解释就是某系统或某设备疯了。

这个问题只是原理不清，如果当问题查的话其实不难，不过可能有点烦，只要一个个来，先针对路由器，可以分三步，
1、路由器和所有客户端断开，把外网也断了，直连你一台电脑，
2、路由器和所有客户端断开，直连你一台电脑，
3、路由器和外网断开，连所有客户端，

排查方法：
按1做后如果出现这种ARP包了，那问题就在路由器上，如果一切正常，接上外网网线，保持和客户端断开，到第2步，实施第2步后如果有这种ARP包，那问题来自外网，如果正常，到第3步，如果第3步出现这问题，那问题来自内网。

当然我表达的观点仅限于我所知道的知识，如果有我不了解或比较先进的东西，欢迎大家指教！

[ 本帖最后由只是一个神话于 2008-11-6 19:25 编辑 ]

xmubbs · 发表于 2008-11-12 16:13:43

我也还在关注这个贴，楼主发个包上来这么难。。。。唉～～

sysjs · 发表于 2008-11-13 09:13:50

如果路由器具有ARP代理功能，这种情况也是可能的。

只是一个神话 · 发表于 2008-11-13 17:19:13

原帖由 sysjs 于 2008-11-13 09:13 发表
如果路由器具有ARP代理功能，这种情况也是可能的。

代理ARP是ROUTE代为应答，这个是ARP请求，不一样的概念。

lsly · 发表于 2008-11-13 21:33:22

还是请楼主发下路由设置吧很多就是设置23的

..

xjj025 · 发表于 2008-11-14 23:35:02

哎，，难找。。

一个关于arp的问题

回复 34# 的帖子

回复 42# 的帖子