例如,如果我的网络是:
Network: 8.8.8.0/24 Gateway: 8.8.8.1 (MAC: 00:21:9b:aa:aa:aa) Example Server: 8.8.8.20 (MAC: 00:21:9b:bb:bb:bb)
通过在8.8.8.1的接口上运行捕获,我看到如下请求:
Sender Mac: 00:21:9b:bb:bb:bb Sender IP: 8.8.8.20 Target MAC: 00:21:9b:aa:aa:aa Target IP: 69.63.181.58
以前有人见过这种行为吗?我对ARP的理解是请求只应该出现在子网内的IP …我对ARP的理解感到困惑吗?如果我不困惑,有人看到过这种行为吗?
而且,这些似乎突然发生,并且当我做一些像网络外的ping一样的事情时,它不会发生.
更新:
回应伊恩的问题.我没有像Hyper-V那样运行任何东西.我有多个接口,但只有一个是活动的(使用BACS故障转移组合).子网掩码是255.255.255.0(即使它不同,它也不能解释像69.63.181.58这样的IP).
当我运行MS网络监视器或wireshark时,我没有看到这些ARP请求.发生的事情是,在路由器捕获时,我看到主机上有大约10个网络外IP请求.在使用wireshark或NetMon的机器本身上,我看到网络上所有机器的大量ARP响应.但是,我没有在捕获中看到任何请求这些响应的请求.
Broadcom团队驱动程序包含一个名为“LiveLink”的功能,该功能使用ARP帧来验证与远程系统的网络连接(请参阅http://support.dell.com/support/edocs/network/p29352/english/teaming.htm).如果用户为本地子网之外的IP地址设置LiveLink探针,则BASP将很乐意为该地址生成ARP.当然,如果地址是伪造的,那么团队应该指出团队中使用的一个或多个NIC的故障.
企业服务器通常具有可管理的专用以太网端口.较低成本的服务器可以搭载在LOM端口上,并通过与Windows相同的RJ-45连接器发送流量.如果服务器的管理功能已启用但未正确配置,则可能会生成主机使用的IP子网之外的ARP.这些ARP帧对Wireshark / Netmon也是不可见的.大多数管理解决方案在系统关闭时也可以工作,因此如果您在系统关闭时继续看到系统生成的ARP,那么管理功能可能就是源.
