我通过千兆以太网将笔记本电脑连接到公司网络,并在接口上运行 Wireshark。我希望看到所有广播和多播流量以及来自或发往我笔记本电脑 IP 的单播流量。
由于某种原因,我还看到所有单播流量都发往网络上的另一个 IP。
为什么会发生这种情况?有人见过这种情况并知道是什么原因造成的吗?
IIUC,交换机应该记录端口上接收到的数据包的 MAC 地址,将其记录在 FIB 中,并将发往该 MAC 地址的数据包路由到上次从该 MAC 接收到数据包的端口。在这种情况下,交换机一定没有接收来自与该 IP 关联的 MAC 地址的数据包,显然即使 ARP 将 IP 解析为 MAC。因此,由于在 FIB 中找不到 MAC,它会将数据包广播到所有端口。但是什么样的奇怪配置会导致这种情况?
答案1
这意味着在 FIB 中找不到目标 MAC 地址。这可能是由于交换机上设置的 MAC 老化计时器较短(短于默认 ARP TTL)或由于网络规模导致的 FIB 资源耗尽(FIB 无法存储的 MAC 太多)或对交换机的主动攻击 - 软件在线路上生成具有不同随机源 MAC 的帧,导致上述资源耗尽,用这些生成的 MAC 填充 FIB,并触发您看到的行为,供攻击者利用。