我透過千兆位元乙太網路將筆記型電腦連接到公司網絡,並在介面上運行 Wireshark。我希望看到僅源自或發送到我的筆記型電腦 IP 的所有廣播和多播流量以及單播流量。
由於某種原因,我還看到所有發送到網路上另一個 IP 的單播流量。
為什麼會發生這種情況?有沒有人以前見過這種行為並知道可能導致它的原因是什麼?
IIUC,交換器應該記錄連接埠上接收到的封包的 MAC 位址,將它們記錄在 FIB 中,並將發送到該 MAC 位址的封包路由到最後接收到來自該 MAC 的資料的連接埠。在這種情況下,交換器肯定不會從與該 IP 關聯的 MAC 位址接收封包,顯然即使 ARP 將 IP 解析為 MAC。結果,由於在 FIB 中找不到 MAC,因此它會將資料包廣播到所有連接埠。但什麼樣的奇怪配置會導致這種情況呢?
答案1
這意味著在 FIB 中未找到目的 MAC 位址。這可能是由於交換器上設定的MAC 老化計時器較短(短於預設ARP TTL)或由於網路規模(太多MAC 無法儲存FIB)導致的FIB 資源耗盡或交換器上的主動攻擊(軟體產生訊框)引起的在具有不同隨機來源 MAC 的線路上,導致上述資源耗盡,用這些生成的 MAC 填充 FIB 並觸發您所看到的攻擊者可利用的行為。