记一次排查局网内的ARP包 “不存在的” MAC 地址及 “不存在的”IP 所发的ARP包

xu言：

最近生了一场病，虽然不是给自己找理由不写。不过果不其然还是没有坚持每天发一篇啊。不过，有时间我还是会把一些有意思的事情记录下来。以作备忘吧。这人老了记性就不好了。哈哈哈，当然，也侧面说明了。做一件小事，坚持很重要。当然，比坚持更重要的是思路和方法。

昨日，无意在公司开了一下Xarp工具（高级ARP欺骗检测工具）。 = 。=之前做实验发现的一个工具，自己感觉用起来还不错。突然发现了大量频繁的某mac地址和某ip在发送ARP包：

对应提示的IP地址是192.168.137.135 （ip地址和mac均载局网内找不到） 从ip地址结构来看，类似安装了虚拟机分配的一个临时ip地址

奇怪的事，内网我在核心华为交换机上 dis arp all | incl <mac节略部分> 仅查到一个相仿的2个mac地址

90-b1-1c-26-00-e1 (dell服务器em1网卡）

90-b1-1c-26-00-e2 (dell服务器em2网卡）

所以，排查思路首先定位到相仿的一台Dell服务器上面：从网卡命名规律来看，应该是这台dell服务器的第三张网卡.

然而...这服务器仅仅只有2张物理网卡！！！

这就“灵异”了。。。

本着打破砂锅问到底的精神，尝试设置了一个和192.168.137.x同段的ip地址去ping，还真能ping通。。然后使用nmap去查也并未有收获。

突然，思路就想把这台相仿的服务器网卡拔掉看看。

果然，拔掉em1的物理网卡的时候。192.168.137.135出现的丢包。证明物理接口给这个诡异的ip和mac提供底层。

然后，这个服务器上安装的是一个centos6.9的系统，寻找到权限后继续排查。从网卡配置文件上看到了这个“灵异”MAC

为了确认这个MAC地址是否为初始的mac还查看了cat  /etc/udev/rules.d/70-persistent-net.rules 这个配置文件

发现应该是人为做“桥接”模式的时候修改的这个mac地址。

MAC修改回来后，把服务器做了一次关机。然后重新开启，局网内没有再见到发送ARP包。

后续研究：

后来对本次的局网的ARP报进行了下查询

Gratuitous ARP也称为免费ARP。无故ARP。Gratuitous ARP不同于一般的ARP请求，它并不是期待得到IP相应的MAC地址，而是当主机启动的时候，将发送一个Gratuitous arp请求，即请求自己的IP地址的MAC地址。

也就是说，正常情况下为了检测ip地址冲突，在主机启动的时候会发送一个这个包。像我发现的这种大量的包，应该就是出现了异常。

Sum：

1.回顾了下Tcpdump 和 wireshare的使用

2.排查思路上，针对发现局网内出现的这种“灵异”mac地址。也始终要相信“电脑不会撒谎”，问题事在人为！

3.对于异常的网络数据包，一定要追究其真相。整个过程也是学习思考的一个很重要的过程。

参考资料：

https://www.cnblogs.com/gavanwanggw/p/6721384.html

https://www.cnblogs.com/f-ck-need-u/p/7064286.html