Ostatnio sieć Wi-Fi w naszej małej firmie została zepsuta w dziwny sposób. Kiedy zrobiłem
arp -i en1 -a
W rzeczywistości widziałem dwa razy ten sam adres MAC. Kiedy zapytałem osobę nietechniczną (technika była niedysponowana), powiedziano mi, że sieć została „zepsuta” i czekam kilka godzin.
Dwukrotnie wymieniony adres MAC dotyczył urządzenia „Motorola Mobility LLC” i był to 10.100.100.1 i 10.100.100.130. W przeszłości 10.100.100.1 było urządzeniem Cisco.
Próbowałem zrobić ping i odzyskałem coś bardzo dziwnego:
Darkstar:~ username$ curl http://abc12345.org
invalid requestDarkstar:~ username$
Darkstar:~ username$ ping abc12345.org
PING abc12345.org (173.246.99.7): 56 data bytes
64 bytes from 173.246.99.7: icmp_seq=0 ttl=44 time=102.034 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 d9af 0 0000 3f 01 221b 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=1 ttl=44 time=123.127 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 d5b3 0 0000 3f 01 2617 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=2 ttl=44 time=98.782 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 c095 0 0000 3f 01 3b35 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=3 ttl=44 time=106.846 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 7de4 0 0000 3f 01 7de6 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=4 ttl=44 time=105.608 ms
^C
--- abc12345.org ping statistics ---
Moje pierwsze pytanie brzmi: czy urządzenie .130 w sieci generuje w ten sposób cały ruch magiczny? Drugie pytanie brzmi: co oznacza aktywność „Przekieruj hosta” podczas pingowania? Trzecie pytanie brzmi: w jaki sposób jeden MAC może pojawić się dwukrotnie w tabeli ARP?
Ta sieć była, jak sądzę, prostym routerem Wi-Fi przechodzącym do jakiegoś połączenia kablowego.
Odpowiedzi:
Pojawienie się tego samego adresu MAC kilka razy niekoniecznie stanowi problem. Mapowanie jest jednokierunkowe: z adresu IP na adres MAC. Tabela ARP to sposób, w jaki system operacyjny zna adres MAC, którego należy użyć, aby wysłać pakiet do komputera o danym adresie IP. Jeśli dana maszyna przyjmuje kilka adresów IP jednocześnie (lub w krótkim odstępie czasu), wszystkie z tym samym interfejsem sprzętowym, otrzymasz kilka wpisów z tym samym adresem MAC. Chociaż jest to obsługiwane, a samo w sobie nie stanowi problemu, może to wskazywać na coś podejrzanego w twoim przypadku.
Komunikaty „hosta przekierowania” są śladami pakietów przekierowania ICMP . Mianowicie, maszyna podająca się za adres IP 10.100.100.130 reaguje na twoje żądanie „ping” i mówi do twojego komputera „hej, 10.100.100.125, kiedy chcesz porozmawiać z 173.246.99.7, powinieneś wysłać pakiet na router 10.100.100.1 ”. Prawdopodobnie komputer wysłał żądanie na inny adres bramy, który zadziałał (ponieważ host docelowy odpowiedział). Służy
netstat -rndo wyświetlania bieżącej tabeli routingu.Te komunikaty wydają się wskazywać, że masz dwa routery w sieci lokalnej. To jest niezwykłe. Tu znowu nie jest to śmiertelny problem (Internet został zaprojektowany jako zbędny z kilkoma ścieżkami z dowolnych dwóch punktów), ale może wskazywać na problem z konfiguracją lub być może trwającą (i niedoświadczoną) próbą ataku (jeden z innych systemów próbuje przekieruj ruch innych hostów do siebie).
źródło