来自差一 MAC 地址的 DHCPDISCOVER 请求

来自差一 MAC 地址的 DHCPDISCOVER 请求

最近,我在一个孤立的本地网络中进行了一些 wireshark 捕获和 tcpdump。我注意到来自与网络接口现有 mac 地址相差 1 个的 mac 地址的异常 dhcp 流量

wireshark 捕获来自机器 1 的 dhcp 流量

wireshark 捕获来自机器 2 的 dhcp 流量

机器 1 mac 地址

机器 2 mac 地址

我搜索了以下解决方案如何停止 dhcpdhcpdiscover 关闭 1并验证

  1. /etc/dhcp/dhclient.conf不存在
  2. dhcpd并且dhclient没有运行
  3. BIOS 中没有明确的 IPMI 设置。我不确定在我的例子中是否有不同的表述。
  4. lshw工具在机器上不可用。lspci并且dmidecode不显示任何隐藏的网络接口
  5. lsmod显示ipmi_ssifipmi_devintfipmi_msghandler

出于安全原因,强烈建议不要在两台机器上安装任何第三方软件,因此我只能使用可用的软件。这种 DHCP 流量的原因是什么?我应该如何禁用它们?

答案1

在网上搜索后,我发现了这个https://wiki.wireshark.org/SLL我引用一下

在 Linux 中,当从“任何”设备或其他设备之一捕获数据时,libpcap 不会为以太网等真正的“硬件协议”提供链路层头,而是为该伪协议提供伪链路层头。

因为我使用的any是接口tcpdump,所以off-by-1的mac地址很可能是libpcap。我通过在单个接口上进行一些捕获来验证我的假设,但这些捕获并没有捕获到任何具有未知 mac 地址的流量。

相关内容