Windows 2008 R2服务器在子网外发送IP请求

发布时间：2020-12-14 00:19:00 所属栏目：Windows 来源：网络整理

导读：通过在我的路由器上运行数据包捕获,我看到我的一些服务器发送对其网络外部存在的IP的ARP请求. 例如,如果我的网络是： Network: 8.8.8.0/24 Gateway: 8.8.8.1 (MAC: 00:21:9b:aa:aa:aa) Example Server: 8.8.8.20 (MAC: 00:21:9b:bb:bb:bb) 通过在8.8.8.1的接

通过在我的路由器上运行数据包捕获,我看到我的一些服务器发送对其网络外部存在的IP的ARP请求.

例如,如果我的网络是：

Network: 8.8.8.0/24  
Gateway: 8.8.8.1 (MAC: 00:21:9b:aa:aa:aa)  
Example Server: 8.8.8.20 (MAC:  00:21:9b:bb:bb:bb)

通过在8.8.8.1的接口上运行捕获,我看到如下请求：

Sender Mac: 00:21:9b:bb:bb:bb 
Sender IP: 8.8.8.20
Target MAC: 00:21:9b:aa:aa:aa
Target IP: 69.63.181.58

以前有人见过这种行为吗？我对ARP的理解是请求只应该出现在子网内的IP …我对ARP的理解感到困惑吗？如果我不困惑,有人看到过这种行为吗？

而且,这些似乎突然发生,并且当我做一些像网络外的ping一样的事情时,它不会发生.

更新：
回应伊恩的问题.我没有像Hyper-V那样运行任何东西.我有多个接口,但只有一个是活动的(使用BACS故障转移组合).子网掩码是255.255.255.0(即使它不同,它也不能解释像69.63.181.58这样的IP).

当我运行MS网络监视器或wireshark时,我没有看到这些ARP请求.发生的事情是,在路由器捕获时,我看到主机上有大约10个网络外IP请求.在使用wireshark或NetMon的机器本身上,我看到网络上所有机器的大量ARP响应.但是,我没有在捕获中看到任何请求这些响应的请求.

所以似乎可能是刷新arp缓存,但包括网络外的IP.当它这样做时,NetMon不显示ARP请求？

如果你没有在Wireshark / Netmon中看到ARP请求,那么ARP框架的另外两个来源可能是Broadcom的团队驱动程序(BASP)和OEM网络可管理性(例如戴尔的DRAC和HP的iLo).

Broadcom团队驱动程序包含一个名为“LiveLink”的功能,该功能使用ARP帧来验证与远程系统的网络连接(请参阅http://support.dell.com/support/edocs/network/p29352/english/teaming.htm).如果用户为本地子网之外的IP地址设置LiveLink探针,则BASP将很乐意为该地址生成ARP.当然,如果地址是伪造的,那么团队应该指出团队中使用的一个或多个NIC的故障.

企业服务器通常具有可管理的专用以太网端口.较低成本的服务器可以搭载在LOM端口上,并通过与Windows相同的RJ-45连接器发送流量.如果服务器的管理功能已启用但未正确配置,则可能会生成主机使用的IP子网之外的ARP.这些ARP帧对Wireshark / Netmon也是不可见的.大多数管理解决方案在系统关闭时也可以工作,因此如果您在系统关闭时继续看到系统生成的ARP,那么管理功能可能就是源.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!