我公司的网络非常不稳定。ping 网关需要花费很长时间,大约 50 毫秒或更长的时间。我进行了一些故障排除以找出原因。当网络不稳定时,我不得不尝试 arp-scan,并看到许多具有相同 MAC 地址的重复 IP。这是输出的一部分:
192.168.6.1 00:1d:xx:xx:xx:xx xxx Corp.
192.168.6.1 **e8:9a:xx:xx:xx:xx** Quanta Computer Inc. (DUP: 2)
192.168.6.4 0a:55:xx:xx:xx:xx (Unknown)
192.168.6.5 0a:55:xx:xx:xx:xx (Unknown)
192.168.6.10 64:66:xx:xx:xx:xx (Unknown)
192.168.6.29 50:e5:xx:xx:xx:xx GIGA-BYTE TECHNOLOGY CO.,LTD.
192.168.6.31 08:9e:xx:xx:xx:xx (Unknown)
192.168.6.38 30:65:xx:xx:xx:xx (Unknown)
192.168.6.38 **e8:9a:xx:xx:xx:xx** Quanta Computer Inc. (DUP: 2)
192.168.6.47 18:03:xx:xx:xx:xx Dell Inc
192.168.6.62 00:26:xx:xx:xx:xx Wistron Corporation
192.168.6.77 2a:91:xx:xx:xx:xx (Unknown)
192.168.6.78 e8:9a:xx:xx:xx:xx Quanta Computer Inc.
192.168.6.95 40:16:xx:xx:xx:xx (Unknown)
192.168.6.95 **e8:9a:xx:xx:xx:xx** Quanta Computer Inc. (DUP: 2)
192.168.6.110 40:16:xx:xx:xx:xx (Unknown)
我的网关是 192.168.6.1。所有重复的 MAC 地址都相同(** 中的 MAC)。我认为这是一个伪造的 MAC,因为我尝试找到机器并将其关闭,但我的网络仍然不稳定。我认为这是一个找出正在发生的事情的起点,但我坚持继续。
答案1
鉴于您在上面的评论中概述的限制,您真正能做的就是让 ARPping 运行到该 MAC 地址,然后逐个拔下(然后重新连接)开关设备上的网络引线,直到 ARPping 停止。
当 ARPping 停止时,这就是有问题的设备。是的,这对网络运营具有极大的破坏性;企业必须做出决定,是继续存在问题比发现问题破坏性更大还是更小。
是的,我们都熟悉这样的企业管理,他们不会投资改进,除非出现可怕的问题 - 然后他们希望立即解决。很遗憾你们有这样一群经理;他们是白痴。
答案2
这看起来很像我所料,有人在进行 ARP 欺骗以拦截流量。这也会导致一些不稳定,具体取决于拦截机器的行为方式以及它是否能跟上流量。
MAC 地址将与特定的硬件制造商相关,这可能有助于您追踪它,但也可能被伪造。
可疑 MAC 地址是否对应任何非重复的 ARP 记录?它是否出现在网络不稳定的时期?
如果有人使用 ARP 欺骗来嗅探流量,那么他们就是通过自己重定向流量。很可能他们的连接非常繁忙,您可以从交换机上的闪烁指示灯中发现这一点,然后顺着电缆找到他们。
答案3
您可以部署ARP 表在寻找托管交换机部署时,在合法的盒子上过滤 arp 流量。