我正在为这个问题挠头……我有一台连接到内部实验室网络的 debian 挤压机。我们有很多机器都有默认的 proxy-arp 配置,偶尔其中一台机器开始劫持大量实验室地址。
在解决了导致我们大部分实验室瘫痪的最新 Proxy-ARP 事件后,我在/var/log/syslog(下面)中发现了一些像这样的残留条目。对于那些不习惯阅读arpwatch日志的00:11:43:d2:68:65人来说,拥有这些地址的机器正在与 192.168.12.102 和 192.168.12.103 争论谁拥有这些地址。
Sep 13 14:25:27 netwiki arpwatch: flip flop 192.168.12.103 00:11:43:d2:68:65 (84:2b:2b:4b:71:b4) eth0
Sep 13 14:26:24 netwiki arpwatch: flip flop 192.168.12.103 84:2b:2b:4b:71:b4 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:26:b9:4e:d3:71 (00:11:43:d2:68:65) eth0
Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:11:43:d2:68:65 (00:26:b9:4e:d3:71) eth0
非常令人担忧的是,它00:11:43:d2:68:65属于我正在运行的同一台机器arpwatch......首先,我验证了它/proc/sys/net/ipv4/conf/eth0/proxy_arp是0. 接下来,我曾经tshark验证过我的机器确实在向其他人欺骗 ARP...
[mpenning@netwiki ~]$ ip addr show …