Jump to content
Калькуляторы

Винда посылает ARP-ы на любой хост

Имеется клиентская винда (Пока замечено пару раз на Windows 7).

Адреса получаются по DHCP (со статикой -- такая же ситуация).

 

Получен ИП, скажем, 10.32.96.48/23, шлюз -- 10.32.96.1.

 

Инет не работает. Смотрю сниффером:

19:05:10.577821 ARP, Request who-has 10.39.192.1 tell 10.32.96.48, length 46

19:05:11.577877 ARP, Request who-has 10.39.192.1 tell 10.32.96.48, length 46

19:05:13.872019 ARP, Request who-has 10.39.192.1 tell 10.32.96.48, length 46

 

Ломится arp-пами на наш DNSник.

 

proxy arp спасает.

Машина клиентская, что понаставлено -- неизвестно, но один клиент уверял, что переставлял -- не помогло.

Сталкивался кто с такими глюками?

Share this post


Link to post
Share on other sites

Только сегодня видел такое же :)

Но не винда, а компьютер моего коллеги на linux. было примерно так:

 

ifconfig eth0 1.1.1.1 255.255.255.0

ip route add default via 1.1.1.1 dev eth0

 

Т.е. шлюза как бы нет, есть только интерфейс для отправки, ну собственно кроме того чтобы слать арпы больше ничего не остаётся. Тоже был прокси-арп на маршрутизаторе, в локальной arp-таблице было 100500 записей.

Share this post


Link to post
Share on other sites

ну да, я бы таки глянул ipconfig /all на проблемной машине, и далее бы уже выяснял почему там неправильный набор ip-маска-деф_шлюз (99% что там что то не так в этом наборе) и как он приехал по DHCP.

Share this post


Link to post
Share on other sites

Так проблема в том, что ип/маска/шлюз в "состоянии подключения" правильные!!

ipconfig /all юзверь не сможет прочесть, но думаю там тоже всё верно.

Share this post


Link to post
Share on other sites

В состоянии подключения может быть и всё нормально, но некоторые вирусы создают кучу маршрутов, более специфичных чем 0/0 и если в качестве next-hop'а указан ip адрес интерфейса, то как раз и будут генериться арпы

 

поэтому обучите его копировать из чёрного окошка и пусть пришлёт вам ipconfig /all и route PRINT

Share this post


Link to post
Share on other sites

ОК, попробую глянуть что у него с маршрутами...

Share this post


Link to post
Share on other sites

Скорее всего - вирусяка.

Также бывает, что с абонентской машины идет последовательный перебор ip-адресов arp запросами.

Иногда идут подряд адреса, иногда на каждый адрес посылается 4-8 запросов и выбирается следующий.

 

12:54:28.314955 ARP, Request who-has 10.51.34.220 tell 10.51.34.10, length 46

12:54:29.816668 ARP, Request who-has 10.51.34.221 tell 10.51.34.10, length 46

12:54:31.314745 ARP, Request who-has 10.51.34.222 tell 10.51.34.10, length 46

 

Только почему так происходит на linux машине, непонятно.

Share this post


Link to post
Share on other sites

Рискну предположить, что такое может происходить если шлюз 10.32.96.1 не ответит на arp, который предназначается именно ему.

Т.е. нет арпа от шлюза -> винда забивает на шлюз и начинает ломиться напрямую.

Share this post


Link to post
Share on other sites

В состоянии подключения может быть и всё нормально, но некоторые вирусы создают кучу маршрутов, более специфичных чем 0/0 и если в качестве next-hop'а указан ip адрес интерфейса, то как раз и будут генериться арпы

 

поэтому обучите его копировать из чёрного окошка и пусть пришлёт вам ipconfig /all и route PRINT

 

Если так, то проще научить route -f и ребут.

Share this post


Link to post
Share on other sites

Возможно это Bonjour после инсталляции чего-то адобовского.

У меня был такой случай - посмотрите нет ли второго дефолтного шлюза или неправильного маршрута к 0.0.0.0/0.0.0.0 в выводе route print.

Если да тогда отключаете сервис с именем типа "##Id_String2.6844F930_1628_4223_B5CC_5BB94B879762##" і ребут.

Share this post


Link to post
Share on other sites
Рискну предположить, что такое может происходить если шлюз 10.32.96.1 не ответит на arp, который предназначается именно ему.

Т.е. нет арпа от шлюза -> винда забивает на шлюз и начинает ломиться напрямую.

Также бывает, что с абонентской машины идет последовательный перебор ip-адресов arp запросами.

 

Ну во первых любой сканер портов, а то и торрент клиент делает именно так. Ну и вирусня тоже

Share this post


Link to post
Share on other sites
Рискну предположить, что такое может происходить если шлюз 10.32.96.1 не ответит на arp, который предназначается именно ему.

Т.е. нет арпа от шлюза -> винда забивает на шлюз и начинает ломиться напрямую.

Также бывает, что с абонентской машины идет последовательный перебор ip-адресов arp запросами.

 

Ну во первых любой сканер портов, а то и торрент клиент делает именно так. Ну и вирусня тоже

 

вирусня может быть. а про сканер портов и торрент-клиент это вы чё-то покурили. в нормальном режиме arp-запросы делаются только для хостов, которые являются директли коннектед с точки зрения таблицы роутинга. Делать arp-запрос для любого ip это ненормальное поведение.

Share this post


Link to post
Share on other sites

Ну отдайте вы ему маршрут до вашего ДНС в ДХЦП пакете :)

 

 

 

 

ifconfig eth0 1.1.1.1 255.255.255.0 ip route add default via 1.1.1.1 dev eth0

 

Столкнулся с тем, что 224.0.0.0/4 пытались зароутить роутером, те отдавался маршрут со шлюзом на эту подсеть...

 

Винды просто гнали траффик через интерфейс, в котором есть этот шлюз, а вот убунта "честно" отсылала всё на шлюз, соответственно мультикаст "ломался" ибо мак дст = мак шлюза, коммутаторы его не воспринимали и не снупили.

 

 

Share this post


Link to post
Share on other sites

Кстати, подтверждаю. Во всех случаях оказался Bonjour.

Причём уже четвётрый клиент в нашей маленькой сетке. Причём проблема появляется не сразу при подключении, а позже.

Нездоровая тенденция...

 

За информацию спасибо.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this