最近,我在一个孤立的本地网络中进行了一些 wireshark 捕获和 tcpdump。我注意到来自与网络接口现有 mac 地址相差 1 个的 mac 地址的异常 dhcp 流量
我搜索了以下解决方案如何停止 dhcp和dhcpdiscover 关闭 1并验证
/etc/dhcp/dhclient.conf
不存在dhcpd
并且dhclient
没有运行- BIOS 中没有明确的 IPMI 设置。我不确定在我的例子中是否有不同的表述。
lshw
工具在机器上不可用。lspci
并且dmidecode
不显示任何隐藏的网络接口lsmod
显示ipmi_ssif
和ipmi_devintf
和ipmi_msghandler
出于安全原因,强烈建议不要在两台机器上安装任何第三方软件,因此我只能使用可用的软件。这种 DHCP 流量的原因是什么?我应该如何禁用它们?
答案1
在网上搜索后,我发现了这个https://wiki.wireshark.org/SLL我引用一下
在 Linux 中,当从“任何”设备或其他设备之一捕获数据时,libpcap 不会为以太网等真正的“硬件协议”提供链路层头,而是为该伪协议提供伪链路层头。
因为我使用的any
是接口tcpdump
,所以off-by-1的mac地址很可能是libpcap。我通过在单个接口上进行一些捕获来验证我的假设,但这些捕获并没有捕获到任何具有未知 mac 地址的流量。