关于一例导致内网设备无法上外网的ARP问题

yuanye002 · 发表于 2011-10-30 22:12:22

现在有这么个情况，内网里有很多嵌入式系统的设备，MAC地址为“00:40:48”开头，和部分电脑，突然某一天晚上电脑不能够上网了。经过在内网的上网网关上【一台linux主机】内网口用tethereal命令抓包看，发现内网有很多的ARP请求包【广播包】，有嵌入式设备的，也有电脑发出的。且比较怪异，ARP请求包的源IP地址和目标MAC为“0”，目标IP却是和源MAC地址一台设备的。
172.16.1.254为网关。
附件里为2次不同时间的抓包。

steve-zhu · 发表于 2011-10-31 10:06:34

ARP Probe报文会使用全“0”的源IP地址，主要用于IP地址冲突检测，全“0”源IP是为了防止污染其他主机的ARP表。
正常情况下，系统在协议栈初始化时要先做冲突检测发几个ARP Probe，之后就不会再发了。不过从你的数据包来看，有些嵌入系统似乎在周期性的发轮询，不太正常。最好看看系统设置。
不过不能上网的问题应该和这些ARP Probe无关，这些报文不会干扰其他主机的ARP表，流量也不足以导致网络拥塞。

yuanye002 · 发表于 2011-10-31 10:57:35

本帖最后由 yuanye002 于 2011-10-31 11:06 编辑

还是不明白，为什么会出现IP地址冲突

steve-zhu · 发表于 2011-10-31 12:02:52

这个IP地址冲突诊断是根据ARP报文的源IP地址信息来判断的：如果捕获到不同MAC地址发出具有相同源IP地址的ARP报文，就会诊断为IP地址冲突。
如果诊断到源IP地址为有效IP的话，就有可能是配置错误或者ARP攻击等问题。
而你这里源地址都是0.0.0.0，说明捕获到很多主机的ARP Probe。ARP Probe本身对网络中其他主机通讯没什么影响，不过我很疑惑你的嵌入式系统为什么要不停的做IP冲突检测。

yuanye002 · 发表于 2011-10-31 14:12:58

比较郁闷
别的项目里大量使用这种设备没有出现这么个情况啊
再在内网里找找其他原因。
谢谢steve-zhu

good_guy_ · 发表于 2011-11-2 15:59:37

arp probe 嘿嘿，学习了！

yuanye002 · 发表于 2011-11-3 16:13:59

不能上网的问题解决了哈
不是arp探测包太多的问题
反了低级性的错误，linux主机在一次升级后，把NAT设置清除了。。。
导致用他做网关上网的机子上不了网。
但是80多台嵌入式设备，那么多的arp探测，还是搞不清楚。

steve-zhu · 发表于 2011-11-3 16:38:21

7# yuanye002 恭喜你终于找到问题了，呵呵。

嵌入式的东东我不了解，帮不了你了哈。

关于一例导致内网设备无法上外网的ARP问题

评分