2

Недавно сеть Wi-Fi в нашей маленькой компании испортилась странным образом. Когда я сделал

     arp -i en1 -a

Я действительно видел один и тот же MAC-адрес в списке дважды. Когда я спросил нетехнического человека (технология была недовольна), мне сказали, что сеть "испорчена" и ждет несколько часов.

MAC, который был указан дважды, был для устройства "Motorola Mobility LLC", и это были 10.100.100.1 и 10.100.100.130. В прошлом 10.100.100.1 был устройством Cisco.

Я попытался сделать пинг и получил что-то очень странное:

    Darkstar:~ username$ curl http://abc12345.org

    invalid requestDarkstar:~ username$
    Darkstar:~ username$ ping abc12345.org
    PING abc12345.org (173.246.99.7): 56 data bytes
    64 bytes from 173.246.99.7: icmp_seq=0 ttl=44 time=102.034 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 d9af   0 0000  3f  01 221b 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=1 ttl=44 time=123.127 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 d5b3   0 0000  3f  01 2617 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=2 ttl=44 time=98.782 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 c095   0 0000  3f  01 3b35 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=3 ttl=44 time=106.846 ms
    92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 0054 7de4   0 0000  3f  01 7de6 10.100.100.125  173.246.99.7

    64 bytes from 173.246.99.7: icmp_seq=4 ttl=44 time=105.608 ms
    ^C
    --- abc12345.org ping statistics ---

Мой первый вопрос: устройство .130 в сети каким-то волшебным образом передает весь трафик через него? Второй вопрос: в чем смысл действия "Перенаправить хост" во время пинга? Третий вопрос: как один MAC может появиться дважды в таблице ARP?

Эта сеть, как я думал, была простым маршрутизатором Wi-Fi, подключенным к кабельному соединению какого-либо типа.

1 ответ1

1

Наличие одного и того же MAC-адреса несколько раз не является проблемой. Сопоставление является односторонним: с IP-адреса на MAC-адрес. Таблица ARP - это способ, с помощью которого ОС знает MAC-адрес, который следует использовать для отправки пакета на компьютер с заданным IP-адресом. Если конкретный компьютер принимает несколько IP-адресов одновременно (или в близкой последовательности), все с одним и тем же аппаратным интерфейсом, то вы получите несколько записей с одним и тем же MAC. Хотя это поддерживается и само по себе не является проблемой, это может указывать на что-то подозрительное в вашем случае.

Сообщения "хост перенаправления" являются следами пакетов ICMP Redirect . А именно, машина, утверждающая, что имеет IP-адрес 10.100.100.130, реагирует на ваш запрос "ping" и сообщает вашей машине «эй, 10.100.100.125, когда вы хотите поговорить с 173.246.99.7, вы должны отправить пакет на маршрутизатор 10.100.100.1 ". Предположительно, ваша машина отправила запрос на другой адрес шлюза, который работал (так как целевой хост ответил). Используйте netstat -rn для отображения вашей текущей таблицы маршрутизации.

Эти сообщения, кажется, указывают, что у вас есть два маршрутизатора в локальной сети. Это необычно. Опять же, это не смертельная проблема (Интернет был спроектирован как избыточный с несколькими путями из любых двух точек), но может указывать на некоторую проблему конфигурации или, возможно, продолжающуюся (и неопытную) попытку атаки (одна из других систем пытается перенаправить трафик других хостов на себя).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .