|
|
最近我在路由中做了一个端口镜像,把LAN1LAN2镜像到LAN3口,LAN3直接连接主机,此机布置SNIFFER PRO4.7(不好意思,由于科来是交流版有限制,不能看清整个网络状态)。
我用SNIFFER对公司LAN抓了4分钟的包,然后对各主机的流量进行查看,发现某台主机接收和发送的数据包比例很大,于是就查看该台主机的相关数据,问题出现了?
如图1
一个IP怎么会出现两个MAC呢?再看看警告信息“ICMP REDIRECT FOR HOST”,是个重定向警告!
于是分析该主机的数据包,如图2
发现每从192.168.0.252主机收到一个重定向包后133主机跟能外网进行数据包的收发。
再查看ICMP报文,图3
ICMP报文类型为5(重定向),代码为1(主机重定向),该包把网关重新定向为192.168.0.1,由次可见,应该是192.168.0.133的网关设置有问题了,而且把网关设为了192.168.0.252(ERP服务器),如果192.168.0.252能发送ICMP的话,难道252的主机上有路由设定?于是检查192.168.0.252,发现 该ERP服务器上,用RRAS创建了VPN服,开启了IP路由管理器,但又由于RRAS中没有设置静态路由,所以133主机通252访问外网时,由于252没有路由走向,即与外网中断了,所以就会发一个ICMP主机重定向报文(如果252是路由的话,我想应该是网络重定向报文,不知对不对?),该报文把能与外网连通的192.168.0.1网关发送给133,告诉他走这条路。
经对其他主机的数据包发现还有几台跟133一样,有许多ICMP重定向报文,这些主机都是安装有ERP客户端,经询问安装ERP的负责人才知道,她是为了使ERP客户不能上外网,才把网关设成了ERP服的IP地址,但没想到的是,ERP服却用RRAS创建了VPN,开启IP路由管理,所以ERP客户端还是能上网的。
刚初涉网络,语言描述不当,请各位老师指正,还有一个问题,就是重定向后为什么133主机会有两个MAC地址?我知道ICMP重定向时,首选要发ARP包,获取主机的MAC地址,但我在133主机中并没有找到ARP包啊?不知道那位老师能讲讲ICMP重定向时前后的过程?>>>先谢了!
[ 本帖最后由 viviviva 于 2007-5-19 12:24 编辑 ] |
|
发表于 2007-5-19 11:06:18
