Come trovare il process che causa la richiesta arp?

Quando eseguo tcpdump nel gateway, ottengo molte richieste arp originate dal gateway stesso. Mi chiedo perché questo accade. Come posso trovare il process che causa queste richieste arp?

$ tcpdump -n arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 16:51:03.662114 ARP, Request who-has 211.123.123.251 tell 211.123.123.242, length 28 16:51:03.954113 ARP, Request who-has 211.123.123.246 tell 211.123.123.242, length 28 16:51:04.002111 ARP, Request who-has 211.123.123.254 tell 211.123.123.242, length 28 16:51:04.518111 ARP, Request who-has 211.123.123.248 tell 211.123.123.242, length 28 16:51:04.954113 ARP, Request who-has 211.123.123.246 tell 211.123.123.242, length 28 16:51:05.002110 ARP, Request who-has 211.123.123.254 tell 211.123.123.242, length 28 16:51:05.518110 ARP, Request who-has 211.123.123.248 tell 211.123.123.242, length 28 16:51:06.002112 ARP, Request who-has 211.123.123.254 tell 211.123.123.242, length 28 16:51:06.210111 ARP, Request who-has 211.123.123.252 tell 211.123.123.242, length 28 16:51:06.518114 ARP, Request who-has 211.123.123.248 tell 211.123.123.242, length 28 16:51:07.114111 ARP, Request who-has 211.123.123.246 tell 211.123.123.242, length 28 16:51:07.210111 ARP, Request who-has 211.123.123.252 tell 211.123.123.242, length 28 16:51:07.314112 ARP, Request who-has 211.123.123.249 tell 211.123.123.242, length 28 

Di seguito è riportto il gate config:

  • È questa una networking o due reti?
  • il pfsense singolo MAC è elencato con diversi IP nella tabella ARP
  • Come richiedere che tutta l'attività della networking passasse un firewall guest di KVM prima di arrivare all'host?
  • Intel e1000e bloccato a 10 Mbps
  • Eredità VLAN?
  • Risolvere i problemi relativi alle connessioni wireless scolpite
  •  $ ip addr 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 6c:f0:49:a8:05:4c brd ff:ff:ff:ff:ff:ff inet 211.123.123.242/28 brd 211.123.123.255 scope global eth0 inet6 fe80::6ef0:49ff:fea8:54c/64 scope link valid_lft forever preferred_lft forever 

    In questa substring, solo 211.123.123.242 (il gateway ip) è disponibile, altre ips (come 211.123.123.246) non sono disponibili.

    Aggiornare:

    Posso vedere il traffico verso questi ips non disponibili, penso che questo sia il motivo di queste arpe. Anche se non riesco a capire perché questo traffico accada. Forse il misconfigure nei fornitori di isp.

     $ tcpdump host 211.103.252.245 23:50:11.414705 IP 59.34.131.5.7099 > 211.123.123.245.17701: Flags [S.], seq 3745049197, ack 1625918577, win 8760, options [mss 1460], length 0 23:50:12.991258 IP 75.126.1.222.80 > 211.123.123.245.1078: Flags [S.], seq 651817046, ack 152032452, win 17473, length 0 

    4 Solutions collect form web for “Come trovare il process che causa la richiesta arp?”

    Questo comportmento è molto comune quando si esegue un server DHCP in esecuzione. Il server analizza gli indirizzi nell'area di locazione per vedere quali sono gratuiti. Ci sono anche altre soluzioni di monitoraggio di networking che utilizzano ARP per monitorare quali indirizzi sono in uso in una networking.

    Per quanto so che non esiste un sistema in Unix come sisthemes per vedere quale programma inizia una richiesta ARP. Potresti probabilmente tastare / ktrace / dtrace per trovare la chiamata di sistema.

    Alla fine non mi preoccuperei troppo. Grande quantità di pacchetti ARP può causare problemi, ma solo quando arriva nella gamma di 1000pps. Alcuni pacchetti al secondo non hanno niente da preoccuparsi.

    Le richieste ARP su un router sono il comportmento previsto. Le richieste ARP vengono utilizzate in modo che il router conosca l'indirizzo di hop successivo sulla networking per un path particolare. Il suo lavoro di base è quello di mappare un indirizzo IP a un indirizzo MAC.

    Dal campione che hai fornito in precedenza, non sembra che sia ARP troppo.

    Se i pacchetti ARP provengono da una casella Linux, è ansible provare a generare una generosa quantità di regole iptables con l'opzione -pid-owner XXX (corrisponde se pid del process che genera il pacchetto è XXX, dovresti coprire una vasta gamma di pid numbers) e spero che il process che effettivamente invia i pacchetti non è un spawn di breve durata di qualcos'altro.

    In alternativa, potresti usare (molto less) opzioni -uid-owner XXX per trovare l'uid del proprietario del process che ha inviato il pacchetto.

    Su una tangente, se il tuo gateway è 211.123.123.242 e cerca gli indirizzi MAC corrispondenti a diversi IP da questa networking, potrebbe essere necessario che alcuni pacchetti venissero consegnati dall'esterno della networking. Chi e perché cerca di comunicare con indirizzi non esistenti può essere in realtà una cosa più interessante da indagare, più che la caccia all'originatore delle richieste ARP nella casella gateway.

    Le richieste ARP sono normali. questo protocollo viene utilizzato per sapere where alcune macchine con MAC sono. quindi su ARP IP è la build. ARP è compilato nel kernel come module ARP. Controlla questo e questo

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.