最近我遇到了一个令人烦恼的问题,这个网络在很大程度上是一个非常可靠的家庭网络。由于这是我的爱好,它可能比普通家庭网络稍微复杂一些,但它仍然只是一个子网,一个路由器/网关家庭局域网。以下是一般的拓扑图。
我的网络上有大约十几台 PC,其中大多数是有线以太网。无线的笔记本电脑使用 Wi-Fi,但通常会分配一个静态 IP 地址。有几台较旧的笔记本电脑使用 DHCP。
还有许多连接 Wi-Fi 的手机、平板电脑、电视、NEST 恒温器和一些其他配件,其中大多数使用 DHCP 分配,但许多在路由器中都有一个“保留”地址。
还有一些其他有线 DHCP 设备(如 Silicon Dust Tuner 和 DVR)无法设置为静态 IP 地址,因此它们会根据需要进行分配,但它们通常每次都会获得相同的分配地址。它们很少会发生变化。
重要的是,我还有 5 个不同大小和年龄的 Synology NAS 盒,它们都是有线的,并分配了连续的静态 IP 地址以方便使用。
我的路由器/网关/Wi-Fi 都放在 Cox 提供的全景 Wi-Fi 盒中,该盒已经运行了大约 9 个月,相对没有问题。
我将路由器分为两个范围,其中 DHCP 范围与我分配给静态地址的地址池严格分开。
仅供参考,我正在使用常见的常规 192.168.0.1 - 254(上半部分为静态 IP,后半部分允许使用 DHCP 服务器)和常见的 255.255.255.0 网络掩码。
大多数有线设备都与许多非管理型交换机相连,除了我的一些在 8 端口 PoE Cisco 管理型小型办公交换机上运行的摄像机外。
问题就在这里;
尽管所有 NAS 盒都分配了静态 IP 并位于非 DHCP 池中,但它们仍开始偶尔弹出“重复 IP 地址”警告。
通过 Wireshark,我能够确定 MAC 地址 00:11:22:ab:cd:ee 偶尔会“共享”(或声称是)我的 LAN 上的一个或多个 NAS 盒以及其他设备的 IP 地址。该 MAC 地址显然是“假的”,因为数字是连续的,并且无法追溯到有效的制造商。
当该 MAC 地址发出 arp 广播时,源 IP 通常是来自我网络外部的 IP 地址,因此它会询问“谁有 192.168.0.xxx?告诉 35.162.54.217”或“..告诉 152.199.24.108”或任何其他“外部”IP 地址。我认为所有 arp 请求都必须来自 LAN 内的本地 IP 地址并发送到 LAN 内的本地 IP 地址。
有时,当该可疑 MAC 地址发送请求时,它会假装来自我的 LAN 内的 IP 地址,因此会生成“重复 IP 地址”错误。这就是我开始寻找这个问题的原因,正是在那时,我发现了来自该虚假 MAC 地址 (00:11:22:ab:cd:ee) 的所有 arp 请求。
我相对确定我只有一个工作的 DHCP 服务器,即内置于 Cox 盒中的服务器。
我搜索了整个网络寻找线索,发现其他人的网络也报告了类似的症状,并提到了虚假的 MAC 地址,但没有人找到原因或解决方案。
我非常擅长遵循指示,如果能力范围内,我会根据要求提供任何其他信息。我有这些工具——Wireshark、XArp、管理命令提示符的基本知识和一些 LAN 扫描软件应用程序。但是,我绝不是网络工程师或任何类型的网络专家。我确信我就是真正的网络专家所说的“知道的足以造成危险”,所以请原谅我。
更新 - 在我最初发布帖子后,情况变得更糟,因为 Cox Panoramic Gateway(Technicolor CGM4141)开始发出随机 ARP 请求,其中它报告自己的 MAC 地址为可疑的 00:11:22:ab:cd:ee,而不是出厂地址。此外,它允许来自我网络之外的 IP 地址的 ARP 请求的行为也愈演愈烈。它随机将 MAC 地址重新分配给我的设备,这开始看起来很像典型的“中间人”攻击。我开始紧张了!
当我发现它随机更改自己的 MAC 地址时,我立即致电 Cox 支持人员,他们坚称这是他们的“全面护理部门”的问题,费用为每月 10 美元,他们立即为我签了协议。
在向“保罗”解释了这个问题之后,他建议我对网关执行“硬”恢复出厂设置,这将清除我的所有设置,如 SSID、密码和 DHCP 地址边界,然后我可以手动恢复这些设置。
因此,我迫切地想要找到解决方案,我用一个小回形针按下了重置按钮,等待了大约 12 分钟,直到 LED 变为纯白色。我恢复了关键设置(顺便说一句,我在网关的 GUI 或 Cox Wi-Fi 网站上找不到更改 SSID 和密码的地方。事实证明,您必须在手机或平板电脑上使用他们的“APP”才能做到这一点。)现在它已经运行了 2 个小时,没有出现任何故障。
但是,我说得太早了,网关现在恢复了以前的不良行为,将“外部”MAC 地址分配给内部 ARP 请求。
答案1
好吧,使用新的有线互联网网关(具体来说是白色外壳的 Technicolor CGM4331COM Rev 2.0,取代了之前的深灰色 Technicolor CGM4141)一个多星期后,所有虚假 ARP 流量和任何虚假 00:11:22:ab:cd:ee MAC 地址实例都消失了。此外,来自 LAN 外部 IP 地址的所有 ARP 请求也消失了。
LAN 上的 ARP 流量也有所减少,平均每小时约为 1000 个 ARP 流量包,而更换之前则几乎是这个数字的两倍。
值得注意的是,旧网关以一种非常不寻常的方式发生故障,Cox 二级“Total Care”技术支持代表没有见过这种情况。根据他们的经验,当这些网关发生故障时,它们会切断互联网连接,有时是偶尔,有时是完全切断。在这种情况下,唯一的症状是 Wireshark 和我的 NAS 服务器反复生成“重复 MAC 地址”警告,这是由于此网关的路由器功能随机重新分配 MAC 地址。
还值得注意的是,互联网上也有一些来自康卡斯特 Xfinity 用户的关于虚假 MAC 地址的类似讨论,这可能是因为康卡斯特在其服务中使用了同一系列的 Technicolor 网关。
最后,Cox 支持代表建议我亲自访问当地的 Cox 商店来更换网关,因为他们的在线技术支持很可能会根据要求给我发送一个“新”网关,但它很可能是同一个经过翻新的 Technicolor GCM4141(灰色)。