我们有一个 LAN,其中有 DHCP 服务器、路由器(DHCP 已禁用)和子网 192.168.1.0/24。我们使用 Xarp 扫描 ARP 欺骗,发现扫描中出现了不同的子网 IP,arp 源 192.168.2.243,arp 目标 192.168.2.1 和不属于任何设备的 MAC。此 IP 无法 ping 或显示在正常的 cmd 窗口 arp -a 中。问题是大多数时候与此子网关联的 MAC 是假的,但偶尔第二个子网会欺骗一个好的 MAC 并导致连接丢失。关于如何跟踪这个第二个子网的起源,有什么建议吗?
答案1
您无法对非本地地址进行 ARP(从客户端的角度来看)。如果您需要对其进行 ARP,则首先需要通过将子网的任何 IP 地址添加到 NIC 来使 IP 地址成为本地地址。然后您可以尝试 ping 它,您会在 ARP 缓存中看到 MAC 关联(如果它仍在那里)。
检查交换机的 MAC 表,确定哪个端口与您要查找的 MAC 地址相关联。我通常从核心交换机开始,然后向外进行。