xu言:
最近生了一场病,虽然不是给自己找理由不写。不过果不其然还是没有坚持每天发一篇啊。不过,有时间我还是会把一些有意思的事情记录下来。以作备忘吧。这人老了记性就不好了。哈哈哈,当然,也侧面说明了。做一件小事,坚持很重要。当然,比坚持更重要的是思路和方法。
昨日,无意在公司开了一下Xarp工具(高级ARP欺骗检测工具)。 = 。=之前做实验发现的一个工具,自己感觉用起来还不错。突然发现了大量频繁的某mac地址和某ip在发送ARP包:
对应提示的IP地址是192.168.137.135 (ip地址和mac均载局网内找不到) 从ip地址结构来看,类似安装了虚拟机分配的一个临时ip地址
奇怪的事,内网我在核心华为交换机上 dis arp all | incl <mac节略部分> 仅查到一个相仿的2个mac地址
90-b1-1c-26-00-e1 (dell服务器em1网卡)
90-b1-1c-26-00-e2 (dell服务器em2网卡)
所以,排查思路首先定位到相仿的一台Dell服务器上面:从网卡命名规律来看,应该是这台dell服务器的第三张网卡.
然而...这服务器仅仅只有2张物理网卡!!!
这就“灵异”了。。。
本着打破砂锅问到底的精神,尝试设置了一个和192.168.137.x同段的ip地址去ping,还真能ping通。。然后使用nmap去查也并未有收获。
突然,思路就想把这台相仿的服务器网卡拔掉看看。
果然,拔掉em1的物理网卡的时候。192.168.137.135出现的丢包。证明物理接口给这个诡异的ip和mac提供底层。
然后,这个服务器上安装的是一个centos6.9的系统,寻找到权限后继续排查。从网卡配置文件上看到了这个“灵异”MAC
为了确认这个MAC地址是否为初始的mac还查看了cat /etc/udev/rules.d/70-persistent-net.rules 这个配置文件
发现应该是人为做“桥接”模式的时候修改的这个mac地址。
MAC修改回来后,把服务器做了一次关机。然后重新开启,局网内没有再见到发送ARP包。
后续研究:
后来对本次的局网的ARP报进行了下查询
Gratuitous ARP也称为免费ARP。无故ARP。Gratuitous ARP不同于一般的ARP请求,它并不是期待得到IP相应的MAC地址,而是当主机启动的时候,将发送一个Gratuitous arp请求,即请求自己的IP地址的MAC地址。
也就是说,正常情况下为了检测ip地址冲突,在主机启动的时候会发送一个这个包。像我发现的这种大量的包,应该就是出现了异常。
Sum:
1.回顾了下Tcpdump 和 wireshare的使用
2.排查思路上,针对发现局网内出现的这种“灵异”mac地址。也始终要相信“电脑不会撒谎”,问题事在人为!
3.对于异常的网络数据包,一定要追究其真相。整个过程也是学习思考的一个很重要的过程。
参考资料:
https://www.cnblogs.com/gavanwanggw/p/6721384.html
https://www.cnblogs.com/f-ck-need-u/p/7064286.html