Eu conecto um laptop via Ethernet gigabit à minha rede corporativa e executo o Wireshark na interface. Espero ver todo o tráfego de transmissão e multicast e tráfego unicast originado ou destinado apenas ao IP do meu laptop.
Por alguma razão, também vejo todo o tráfego unicast destinado a outro IP na rede.
Por que isso pode acontecer? Alguém já viu esse comportamento antes e sabe o que pode causar isso?
IIUC, os switches devem anotar o endereço MAC dos pacotes recebidos em uma porta, registrando-os no FIB, e rotear os pacotes destinados a esse endereço MAC apenas para a porta onde algo desse MAC foi recebido pela última vez. Neste caso, o switch não deve estar recebendo pacotes do endereço MAC associado a esse IP, aparentemente mesmo que o ARP tenha resolvido o IP para um MAC. Como resultado, como o MAC não é encontrado no FIB, ele transmite o pacote para todas as portas. Mas que tipo de configuração estranha causaria isso?
Responder1
Isso significa que o endereço MAC de destino não foi encontrado no FIB. Pode ser causado por um curto temporizador de envelhecimento MAC definido em um switch (menor que o ARP TTL padrão) ou por um esgotamento de recursos FIB devido ao tamanho da rede (muitos MACs para FIB armazenar) ou um ataque ativo em um switch - software gerando quadros na rede com diferentes MACs de origem aleatória para causar o esgotamento dos recursos acima, preenchendo o FIB com esses MACs gerados e acionando o comportamento que você vê para o invasor explorar.