來自非一 MAC 地址的 DHCPDISCOVER 請求

最近我在一個孤立的本地網路中進行了一些wireshark 擷取和tcpdump。我注意到來自 MAC 地址的異常 dhcp 流量與網路介面的現有 MAC 地址相差 1

wireshark 從機器 1 擷取 dhc​​p 流量

wireshark 從機器 2 擷取 dhc​​p 流量

機器 1 mac 地址

機器 2 mac 地址

我搜尋了解決方案，例如如何將 dhcp和dhcpdiscover 關閉 1並驗證

1. /etc/dhcp/dhclient.conf不存在
2. dhcpd並且dhclient沒有執行
3. BIOS 中沒有明確的 IPMI 設置。我不確定在我的情況下是否有不同的措辭。
4. lshw工具在機器上不可用。lspci並且dmidecode不顯示任何隱藏的網路介面
5. lsmod顯示ipmi_ssif和ipmi_devintf和ipmi_msghandler

出於安全原因，強烈建議不要在兩台機器上安裝任何第三方軟體，因此我只能使用可用的軟體。這種 DHCP 流量的原因是什麼，我應該如何禁用它們？

在網上廣泛搜尋後，我發現了這個https://wiki.wireshark.org/SLL並引用

在 Linux 中從“任何”設備或其他設備之一擷取時，libpcap 不會為真正的“硬體協議”（如乙太網）提供鏈路層標頭，而是提供虛假的鏈路層標頭對於這個偽協議。

因為我使用any的是 as interface in tcpdump，所以 off-by-1 mac 地址很可能是libpcap添加的假地址。我通過在單個介面上進行一些擷取來驗證我的假設，這反過來又沒有擷取任何帶有未知 MAC 地址的流量。

引用自：https://serverfault.com/questions/1064437