Я подключаю ноутбук через гигабитный Ethernet к своей корпоративной сети и запускаю Wireshark на интерфейсе. Я ожидаю увидеть весь широковещательный и многоадресный трафик, а также одноадресный трафик, исходящий или направленный только на IP моего ноутбука.
По какой-то причине я также вижу весь одноадресный трафик, предназначенный для одного другого IP-адреса в сети.
Почему это может произойти? Кто-нибудь видел такое поведение раньше и знает, что может его вызвать?
IIUC, коммутаторы должны отмечать MAC-адрес пакетов, полученных на порту, регистрировать их в FIB и направлять пакеты, предназначенные для этого MAC-адреса, только на тот порт, где что-то с этого MAC было получено в последний раз. В этом случае коммутатор не должен получать пакеты с MAC-адреса, связанного с этим IP, по-видимому, даже несмотря на то, что ARP разрешил IP в MAC. В результате, поскольку MAC не найден в FIB, он рассылает пакет на все порты. Но какая странная конфигурация могла бы вызвать это?
решение1
Это означает, что MAC-адрес назначения не найден в FIB. Это может быть вызвано коротким таймером старения MAC, установленным на коммутаторе (короче, чем значение ARP TTL по умолчанию), или исчерпанием ресурсов FIB из-за размера сети (слишком много MAC-адресов для хранения в FIB) или активной атакой на коммутатор — программное обеспечение генерирует кадры на линии с различными случайными исходными MAC-адресами, чтобы вызвать вышеуказанное исчерпание ресурсов, заполняя FIB этими сгенерированными MAC-адресами и запуская поведение, которое вы видите для использования злоумышленником.