Рейтинг:0

Запросы APIPA ARP отправляются по всей сети

флаг cn

У нас есть ~ 200 хостов под управлением Windows 10 и ~ 40 IP-камер, все они работают с IP-адресами от 10.100.0.0/16, почти все они отправляют запросы arp на 169.254.0.0/16. У нас также есть виртуальные машины, работающие на оборудовании VMWare, и некоторые из них также отправляют эти запросы. принтскрин из wirehark

IP-камеры, как известно, имеют какое-то странное поведение в сети, но обычные ПК все вместе запрашивают апипа - это очень странно.

Наша теория была:

  1. Может быть, один хост начинает запрашивать апипа — и подключаются остальные.
  2. Сломанный драйвер сетевой карты или образ ОС, или какое-то программное обеспечение, генерирующее эти запросы

Каковы Ваши мысли?

v.doro2 avatar
флаг cn
Как оказалось, программное обеспечение (клиентская служба диспетчера лицензий) без всякой причины генерировало эти arp-пакеты. Лучший инструмент для анализа в Windows — Microsoft Message Analyzer (вышел на пенсию, но все еще выполняет свою работу). Чтобы решить - примените правило IPSecurity через GPO.
Рейтинг:1
флаг ru

ARP обычно использует широковещательные рассылки, которые распространяются по широковещательному домену. Если вы считаете, что ARP-трафика слишком много, вам необходимо разделить широковещательный домен (обычно по VLAN).

Адресация Zeroconf/APIPA/link-local обычно является признаком отсутствия DHCP — либо сервер отсутствует/неисправен, область действия исчерпана, либо клиенты/узлы не поддерживают DHCP. С DHCP вы можете указать время аренды, и клиенты должны значительно сократить обнаружение повторяющихся адресов через ARP.

Чтобы проверить, есть ли конкретный клиент или тип источника всех этих запросов ARP, перехватите пакеты и проверьте исходные MAC-адреса для их исходных устройств. Пока вы это делаете, убедитесь, что DHCP также работает правильно.

v.doro2 avatar
флаг cn
Все устройства имеют IP-адреса, назначенные через dhcp или статические (камеры). Подсеть не исчерпана /16=65535 доступных хостов, у нас максимум 1000. Все устройства работают нормально - доступ в интернет, локальная сеть, smb - все работает - только это странное поведение - очень интересно решить источник этой проблемы.
Zac67 avatar
флаг ru
Таким образом, эти устройства отправляют запросы ARP для адресов 169.254.0.0/16, фактически не используя ни один из них? Это можно считать сломанным/глючным. Если вы назначаете эти адреса статически или через DHCP, это не разрешено согласно [RFC 3927] (https://datatracker.ietf.org/doc/html/rfc3927).
v.doro2 avatar
флаг cn
Да, ПК имеют назначенные DHCP адреса из пула 10.100.0.0/16. IP-камеры имеют статические IP-адреса из той же подсети. У камер еще более странное поведение - они посылают ARP-зонды на свой адрес - который у них уже есть и APIPA ARP-зонды и запросы. Наши серверы лицензий — виртуальные машины на VMWare — также время от времени отправляют APIPA. Мы не назначаем эти адреса (apipas) через DHCP - это, конечно, было бы совершенно неправильно.
v.doro2 avatar
флаг cn
Вы никогда не увидите какой-либо пакет, исходящий из 169.254.0.0/16, только ARP-пробы и ARP-запросы.
Zac67 avatar
флаг ru
ARP-проверка собственного адреса (обнаружение повторяющихся адресов) с помощью ARP является правильным и полезным, когда появляется ссылка или аренда DHCP является (повторной) новой (редакторской). Чрезмерный ARP-запрос — это ошибка — откройте тикет у поставщика или, в качестве обходного пути, попробуйте отфильтровать эти ARP-запросы на портах доступа. Перемещение этих устройств из производственной локальной сети в отдельную зону (*IoT*) также должно быть хорошей идеей.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.