最近我们小公司的 Wifi 网络出现了奇怪的问题。当我
arp -i en1 -a
我确实看到同一个 MAC 地址被列出两次。当我向非技术人员询问时(技术人员身体不适),他们告诉我网络“出问题了”,让我等几个小时。
两次列出的 MAC 是“Motorola Mobility LLC”设备的 MAC,分别为 10.100.100.1 和 10.100.100.130。过去 10.100.100.1 是 Cisco 设备。
我尝试执行 ping 操作并得到了一些非常奇怪的结果:
Darkstar:~ username$ curl http://abc12345.org
invalid requestDarkstar:~ username$
Darkstar:~ username$ ping abc12345.org
PING abc12345.org (173.246.99.7): 56 data bytes
64 bytes from 173.246.99.7: icmp_seq=0 ttl=44 time=102.034 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 d9af 0 0000 3f 01 221b 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=1 ttl=44 time=123.127 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 d5b3 0 0000 3f 01 2617 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=2 ttl=44 time=98.782 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 c095 0 0000 3f 01 3b35 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=3 ttl=44 time=106.846 ms
92 bytes from 10.100.100.130: Redirect Host(New addr: 10.100.100.1)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 7de4 0 0000 3f 01 7de6 10.100.100.125 173.246.99.7
64 bytes from 173.246.99.7: icmp_seq=4 ttl=44 time=105.608 ms
^C
--- abc12345.org ping statistics ---
我的第一个问题是,网络上的 .130 设备是否以某种方式神奇地让所有流量通过它发送?第二个问题是 ping 期间“重定向主机”活动的含义是什么?第三个问题是,一个 MAC 怎么会在 ARP 表中出现两次?
我认为,这个网络是一个简单的 Wifi 路由器,可连接到某种类型的有线连接。
答案1
多次出现相同的 MAC 地址不一定是个问题。映射是单向的:从 IP 地址到 MAC 地址。ARP 表是操作系统了解应该使用哪个 MAC 地址来将数据包发送到具有给定 IP 地址的机器的方式。如果给定的机器同时(或连续)假设多个 IP 地址,所有 IP 地址都具有相同的硬件接口,那么您将获得多个具有相同 MAC 的条目。虽然这受支持并且本身不是问题,但这可能表明你的情况有些可疑。
“重定向主机”消息是ICMP 重定向数据包。也就是说,一台声称拥有 IP 地址 10.100.100.130 的机器正在响应您的“ping”请求,并告诉您的机器“嘿,你,10.100.100.125,当您想要与 173.246.99.7 通信时,您应该将数据包发送到路由器 10.100.100.1”。据推测,您的机器将请求发送到另一个网关地址,该地址有效(因为目标主机响应了)。用于netstat -rn
显示您当前的路由表。
这些消息似乎表明您已经二本地网络上的路由器。这种情况很不寻常。同样,这不是一个致命问题(互联网被设计为冗余的,从任何两点都有多条路径),但可能表示存在一些配置问题,或者可能是正在进行的(且不熟练的)攻击尝试(其他系统之一试图将其他主机的流量重定向到自身)。