ギガビット イーサネット経由でラップトップを企業ネットワークに接続し、インターフェイス上で Wireshark を実行します。ラップトップの IP から発信または宛先となるすべてのブロードキャスト トラフィックとマルチキャスト トラフィック、およびユニキャスト トラフィックが表示されることを期待しています。
何らかの理由で、ネットワーク上の他の 1 つの IP 宛てのすべてのユニキャスト トラフィックも表示されます。
なぜこのようなことが起こるのでしょうか? これまでにこのような現象を経験したことがある方、またその原因を知っている方はいらっしゃいますか?
私の記憶では、スイッチはポートで受信したパケットの MAC アドレスを FIB に記録し、その MAC アドレス宛てのパケットを、その MAC からのパケットが最後に受信されたポートにのみルーティングするはずです。この場合、ARP が IP を MAC に解決したにもかかわらず、スイッチはその IP に関連付けられた MAC アドレスからのパケットを受信していないはずです。その結果、MAC が FIB に見つからないため、パケットがすべてのポートにブロードキャストされます。しかし、どのような奇妙な設定が原因なのでしょうか?
答え1
これは、宛先 MAC アドレスが FIB 内に見つからないことを意味します。これは、スイッチに設定されている短い MAC エージング タイマー (デフォルトの ARP TTL より短い)、ネットワーク サイズによる FIB リソースの枯渇 (FIB に保存できる MAC が多すぎる)、またはスイッチに対するアクティブな攻撃 (ソフトウェアがさまざまなランダムなソース MAC を使用してワイヤ上にフレームを生成し、上記のリソース枯渇を引き起こして、生成された MAC で FIB を埋め、攻撃者が悪用できる動作をトリガーする) によって発生する可能性があります。