Kyl*_*ndt 5 networking windows arp windows-server-2008-r2
通过在我的路由器上运行数据包捕获,我看到我的一些服务器向存在于其网络外部的 IP 发送 ARP 请求。
例如,如果我的网络是:
Network: 8.8.8.0/24
Gateway: 8.8.8.1 (MAC: 00:21:9b:aa:aa:aa)
Example Server: 8.8.8.20 (MAC: 00:21:9b:bb:bb:bb)
通过在具有 8.8.8.1 的接口上运行捕获,我看到如下请求:
Sender Mac: 00:21:9b:bb:bb:bb
Sender IP: 8.8.8.20
Target MAC: 00:21:9b:aa:aa:aa
Target IP: 69.63.181.58
有人见过这种行为吗?我对 ARP 的理解是,请求应该只针对子网内的 IP 发出……我对 ARP 的理解是否感到困惑?如果我不感到困惑,有人见过这种行为吗?
此外,这些似乎是突发性的,当我执行诸如 ping 网络外的 IP 之类的操作时不会发生这种情况。
更新:
回应伊恩的问题。我没有运行像 Hyper-V 这样的东西。我有多个接口,但只有一个是活动的(使用 BACS 故障转移组合)。子网掩码是 255.255.255.0(即使它不同,它也不能解释像 69.63.181.58 这样的 IP)。
当我运行 MS 网络监视器或wireshark 时,我没有看到这些 ARP 请求。发生的情况是,在路由器捕获时,我看到来自主机的网络外部 IP 请求大约有 10 个突发。在使用wireshark 或NetMon的机器上,我看到网络上所有机器的大量ARP 响应。但是,我在捕获中没有看到任何要求这些响应的请求。
因此,它似乎可能正在刷新 arp 缓存,但包括网络外部的 IP。此外,当它这样做时,NetMon 不显示 ARP 请求?
你对ARP的理解是正确的。主机不应该对不在其本地子网中的 IP 地址进行 ARP,因为它应该知道该 IP 地址不是本地的,因此应该知道数据需要发送到默认网关。我唯一一次看到这种情况是主机感染了恶意软件。
| 归档时间: |
|
| 查看次数: |
4875 次 |
| 最近记录: |