1.现象
前些天实验室的网络开始变得很慢,一开始我们以为是断网,后来我们发现,其实是能够上网的,只是网速非常慢。而且隔壁两个实验室却没有这样的情况。
2.查找
听宁哥说他同学用wireshark抓包,发现有一台惠普的机器在疯狂的发送arp包,我们怀疑是不是实验室的惠普打印机出问题了。于是下载了wireshark来进行抓包。
我们会发现,有两台机器在疯狂地发送arp包,其中有Microsof_02和Elitegro_e3,他们都在广播arp包,似乎在解析192.168.1.100地址的时候出现了问题。我们可以初步地定位网络拥挤的原因,就是因为这两台机器在不停地广播arp包。
我们来看看arp包的内容:
似乎除了机器的MAC地址外,查不到有效的信息。
我们看到黄色字,提示我们这个192.168.1.100的ip被别人使用了。那么问题就变成了,现在有两台不同mac地址的机器在占用同一个ip。
其中数据包中也没看到什么有用的信息了。
于是我使用了arp -a的命令,来查看,这些MAC地址对应的机器IP是多少:
结果发现,我们并没有找到这些MAC地址,所以我还是没办法定位这些机器。
直到,第二天早上,实验室的同学找到了其中一个mac地址对应的ip是172.18.219.240。而更神奇的是,宁哥刚还有另外实验室的同学电脑ip恰好就是240。172的ip是整个学院楼的ip段,我们当初也没有想到是其他实验室的机器导致我们网络拥挤。
后来,宁哥告诉我们,他的同学新买了一个路由器,然后把原来电脑的mac地址复制到路由器上面了,导致arp的时候发现有两台设备有回应,进一步导致了上述的arp广播风暴。后来把路由器拔掉了就没事了,拯救了整个实验室!
对于上面的过程,其实我还是有比较多的疑问:
1. 192网段的ARP包为什么会广播到172的网段?
2.为什么那两台机器会狂发arp包?而且从包中可以看出他们的mac地址明显不一样?
这些问题需要待后续深入研究和了解才能进行补充了~
1807
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
