1.現象
前些天實驗室的網絡開始變得很慢,一開始我們以為是斷網,後來我們發現,其實是能夠上網的,隻是網速非常慢。而且隔壁兩個實驗室卻沒有這樣的情況。
2.查找
聽甯哥說他同學用wireshark抓包,發現有一台惠普的機器在瘋狂的發送arp包,我們懷疑是不是實驗室的惠普列印機出問題了。于是下載下傳了wireshark來進行抓包。
我們會發現,有兩台機器在瘋狂地發送arp包,其中有Microsof_02和Elitegro_e3,他們都在廣播arp包,似乎在解析192.168.1.100位址的時候出現了問題。我們可以初步地定位網絡擁擠的原因,就是因為這兩台機器在不停地廣播arp包。
我們來看看arp包的内容:
似乎除了機器的MAC位址外,查不到有效的資訊。
我們看到黃色字,提示我們這個192.168.1.100的ip被别人使用了。那麼問題就變成了,現在有兩台不同mac位址的機器在占用同一個ip。
其中資料包中也沒看到什麼有用的資訊了。
于是我使用了arp -a的指令,來檢視,這些MAC位址對應的機器IP是多少:
結果發現,我們并沒有找到這些MAC位址,是以我還是沒辦法定位這些機器。
直到,第二天早上,實驗室的同學找到了其中一個mac位址對應的ip是172.18.219.240。而更神奇的是,甯哥剛還有另外實驗室的同學電腦ip恰好就是240。172的ip是整個學院樓的ip段,我們當初也沒有想到是其他實驗室的機器導緻我們網絡擁擠。
後來,甯哥告訴我們,他的同學新買了一個路由器,然後把原來電腦的mac位址複制到路由器上面了,導緻arp的時候發現有兩台裝置有回應,進一步導緻了上述的arp廣播風暴。後來把路由器拔掉了就沒事了,拯救了整個實驗室!
對于上面的過程,其實我還是有比較多的疑問:
1. 192網段的ARP包為什麼會廣播到172的網段?
2.為什麼那兩台機器會狂發arp包?而且從包中可以看出他們的mac位址明顯不一樣?
這些問題需要待後續深入研究和了解才能進行補充了~