บรรจวบ เข้าสู่ระบบ
Score:0
v.doro2 avatar Server

คำขอ APIPA ARP ถูกส่งไปทั่วเครือข่าย

ธง cn
v.doro2

เรามีโฮสต์ประมาณ 200 โฮสต์ที่ใช้ windows 10 และ ~40 กล้อง ip ทั้งหมดทำงานกับที่อยู่ IP จาก 10.100.0.0/16 เกือบทั้งหมดส่งคำขอ arp ไปที่ 169.254.0.0/16 เรายังมีเครื่องเสมือนที่ทำงานบนอุปกรณ์ VMWare และบางเครื่องก็ส่งคำขอเหล่านั้นด้วย พิมพ์หน้าจอจาก wireshark

เป็นที่ทราบกันดีว่ากล้อง IP มีพฤติกรรมเครือข่ายแปลก ๆ แต่พีซีทั่วไปร้องขอ apipa พร้อมกัน - เป็นเรื่องแปลกมาก

ทฤษฎีของเราคือ:

  1. อาจเป็นหนึ่งในโฮสต์ที่เริ่มร้องขอ apipa - และส่วนที่เหลือก็เข้ามาเกี่ยวข้อง
  2. ไดรเวอร์ NIC หรืออิมเมจ OS ที่ใช้งานไม่ได้ หรือซอฟต์แวร์บางตัวที่สร้างคำขอเหล่านั้น

ความคิดของคุณคืออะไร?

75
0 + 0
v.doro2 avatar
cn flag
v.doro2
เมื่อปรากฎว่า - ซอฟต์แวร์ (บริการไคลเอนต์ตัวจัดการใบอนุญาต) กำลังสร้างแพ็กเก็ต arp เหล่านั้นโดยไม่มีเหตุผล เครื่องมือที่ดีที่สุดในการวิเคราะห์บน Windows - Microsoft Message Analyzer (เลิกใช้แล้ว แต่ยังคงทำงานอยู่) วิธีแก้ไข - ใช้กฎ IPSecurity ผ่าน GPO
0
ตอบกลับ
Score:1
Zac67 avatar Server
ธง ru
Zac67

โดยทั่วไป ARP จะใช้การออกอากาศที่แพร่กระจายไปทั่วโดเมนการออกอากาศ หากคุณคิดว่ามีปริมาณการรับส่งข้อมูล ARP มากเกินไป คุณจะต้องแบ่งโดเมนการแพร่ภาพ (โดยปกติจะเป็น VLAN)

Zeroconf/APIPA/link-local addressing เป็นสัญญาณบ่งชี้ว่า DHCP ขาดหายไป - เซิร์ฟเวอร์ขาดหายไป/ทำงานผิดปกติ ขอบเขตหมด หรือไคลเอนต์/โฮสต์ไม่รองรับ DHCP ด้วย DHCP คุณสามารถระบุเวลาเช่าได้ และไคลเอนต์ควรลดการตรวจจับที่อยู่ซ้ำผ่าน ARP ลงอย่างมาก

หากต้องการตรวจสอบว่ามีไคลเอ็นต์หรือประเภทที่ระบุซึ่งจัดหาคำขอ ARP ทั้งหมดหรือไม่ ให้จับแพ็กเก็ตและตรวจสอบที่อยู่ MAC ต้นทางสำหรับอุปกรณ์ต้นทาง ขณะที่คุณดำเนินการอยู่ ให้ตรวจสอบว่า DHCP ทำงานอย่างถูกต้องเช่นกัน

0 + 0
v.doro2 avatar
cn flag
v.doro2
อุปกรณ์ทั้งหมดมีที่อยู่ IP ที่กำหนดผ่าน dhcp หรือแบบคงที่ (กล้อง) เครือข่ายย่อยยังไม่หมด /16=65535 โฮสต์ที่มีอยู่ เราอาจมีมากถึง 1,000 โฮสต์ อุปกรณ์ทั้งหมดทำงานอย่างถูกต้อง - การเข้าถึงอินเทอร์เน็ต, lan, smb - ทุกอย่างใช้งานได้ - พฤติกรรมแปลก ๆ นี้ - น่าสนใจมากในการแก้ไขแหล่งที่มาของปัญหานี้
0
ตอบกลับ
Zac67 avatar
ru flag
Zac67
ดังนั้นอุปกรณ์เหล่านั้นจึงส่งคำขอ ARP สำหรับที่อยู่ 169.254.0.0/16 โดยไม่ได้ใช้สิ่งเหล่านี้จริงหรือ ที่สามารถถือว่าเสีย / บั๊ก หากคุณกำหนดที่อยู่เหล่านั้นแบบคงที่หรือต่อ DHCP จะไม่ได้รับอนุญาตตาม [RFC 3927](https://datatracker.ietf.org/doc/html/rfc3927)
0
ตอบกลับ
v.doro2 avatar
cn flag
v.doro2
ใช่ พีซีมีการกำหนดที่อยู่ DHCP จากพูล 10.100.0.0/16 กล้อง IP มีที่อยู่ IP แบบคงที่จากซับเน็ตเดียวกัน กล้องมีพฤติกรรมที่แปลกยิ่งกว่านั้น - พวกเขาส่งโพรบ ARP สำหรับที่อยู่ของตัวเอง - ที่พวกเขามีอยู่แล้วและโพรบและคำขอ APIPA ARP เซิร์ฟเวอร์ใบอนุญาตของเรา - VM บน VMWare ยังส่ง APIPA เป็นระยะๆ เราไม่ได้กำหนดที่อยู่เหล่านั้น ( apipas ) ผ่านทาง DHCP - แน่นอนว่ามันผิดโดยสิ้นเชิง
0
ตอบกลับ
v.doro2 avatar
cn flag
v.doro2
คุณไม่มีทางเห็นบางแพ็กเก็ตที่มาจาก 169.254.0.0/16 เฉพาะโพรบ ARP และคำขอ ARP
0
ตอบกลับ
Zac67 avatar
ru flag
Zac67
ARP ตรวจสอบที่อยู่ของตนเอง (การตรวจจับที่อยู่ซ้ำ) โดย ARP นั้นถูกต้องและมีประโยชน์เมื่อมีลิงค์ขึ้นมาหรือการเช่า DHCP เป็น (ใหม่) ใหม่ (แก้ไข) ARPing ที่มากเกินไปคือจุดบกพร่อง - เปิดตั๋วกับผู้ขายหรือลองกรองคำขอ ARP เหล่านั้นบนพอร์ตการเข้าถึง เพื่อเป็นการหลีกเลี่ยง การย้ายอุปกรณ์เหล่านั้นออกจาก LAN ที่ใช้งานจริงและไปยังโซนแยกต่างหาก (*IoT*) ก็ควรเป็นความคิดที่ดีเช่นกัน
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา