Networking

來自非一 MAC 地址的 DHCPDISCOVER 請求

  • June 4, 2021

最近我在一個孤立的本地網路中進行了一些wireshark 擷取和tcpdump。我注意到來自 MAC 地址的異常 dhcp 流量與網路介面的現有 MAC 地址相差 1

wireshark 從機器 1 擷取 dhc​​p 流量

wireshark 從機器 2 擷取 dhc​​p 流量

機器 1 mac 地址

機器 2 mac 地址

我搜尋了解決方案,例如如何將 dhcpdhcpdiscover 關閉 1並驗證

  1. /etc/dhcp/dhclient.conf不存在
  2. dhcpd並且dhclient沒有執行
  3. BIOS 中沒有明確的 IPMI 設置。我不確定在我的情況下是否有不同的措辭。
  4. lshw工具在機器上不可用。lspci並且dmidecode不顯示任何隱藏的網路介面
  5. lsmod顯示ipmi_ssifipmi_devintfipmi_msghandler

出於安全原因,強烈建議不要在兩台機器上安裝任何第三方軟體,因此我只能使用可用的軟體。這種 DHCP 流量的原因是什麼,我應該如何禁用它們?

在網上廣泛搜尋後,我發現了這個https://wiki.wireshark.org/SLL並引用

在 Linux 中從“任何”設備或其他設備之一擷取時,libpcap 不會為真正的“硬體協議”(如乙太網)提供鏈路層標頭,而是提供虛假的鏈路層標頭對於這個偽協議。

因為我使用any的是 as interface in tcpdump,所以 off-by-1 mac 地址很可能是libpcap添加的假地址。我通過在單個介面上進行一些擷取來驗證我的假設,這反過來又沒有擷取任何帶有未知 MAC 地址的流量。

引用自:https://serverfault.com/questions/1064437