12 votos

Extraño: ¿por qué linux responder a ping con la solicitud de ARP después de la última respuesta de ping?

Yo (y colega) sólo han notado, y probado, que cuando una máquina Linux es el ping, después de la última ping es el inicio de una de unidifusión solicitud de ARP para el equipo que inició el ping de ICMP. Al hacer ping a una máquina Windows, el Windows de la máquina no emite una solicitud de ARP en la final.

¿Alguien sabe cuál es el propósito de este unicast solicitud de ARP, y por qué se produce en Linux y no en Windows?

El Wireshark trace (con 10.20.30.45 ser un cuadro de Linux):

No.Time        Source           Destination      Prot  Info
19 10.905277   10.20.30.14      10.20.30.45      ICMP  Echo (ping) request
20 10.905339   10.20.30.45      10.20.30.14      ICMP  Echo (ping) reply
21 11.904141   10.20.30.14      10.20.30.45      ICMP  Echo (ping) request
22 11.904173   10.20.30.45      10.20.30.14      ICMP  Echo (ping) reply
23 12.904104   10.20.30.14      10.20.30.45      ICMP  Echo (ping) request
24 12.904137   10.20.30.45      10.20.30.14      ICMP  Echo (ping) reply
25 13.904078   10.20.30.14      10.20.30.45      ICMP  Echo (ping) request
26 13.904111   10.20.30.45      10.20.30.14      ICMP  Echo (ping) reply
27 15.901799   D-Link_c5:e7:ea  D-Link_33:cb:92  ARP   Who has 10.20.30.14?  Tell 10.20.30.45
28 15.901855   D-Link_33:cb:92  D-Link_c5:e7:ea  ARP   10.20.30.14 is at 00:05:5d:33:cb:92

Actualización: acabo de googlear un poco más de unidifusión solicitud de ARPs, y la única referencia útil que he encontrado es en el RFC 4436 que se trata de "Detección de la Red de Apego" (desde 2006). Esta técnica utiliza unicast ARPs para permitir que un host para determinar si se vuelve a conectar a los previamente conocidos de la red. Pero no veo cómo esto se aplica a una solicitud de ARP como resultado de hacer un ping. Así que el misterio sigue siendo...

4voto

David Pokluda Puntos 4284

Linux envía varios de unidifusión peticiones ARP para actualizar la caché de ARP. Esto es para prevenir rancio (y potencialmente malicioso) entradas de caché de ARP.

Hay un par de situaciones donde unicast ARP se utiliza, básicamente, para validar la caché de ARP. Si la entrada está obsoleto, entonces, la alternativa es el ARP de difusión.

Esto se discute en RFC1122 2.3.2.1

Creo que eso es lo que está haciendo, por qué, mi primer supongo que sería algún tipo de anti-spoofing medida. Paquetes ARP son siempre nunca se dirige, así que estoy asumiendo que usted está haciendo esto en tu área local (LAN)? ¿Esta situación ocurra de forma consistente cada vez que un ping al host o acaba de remontar un tiempo? En cuyo caso, la caché de ARP para que el host puede haber sido en tiempo de espera casualmente.

¿Qué sistema operativo se está ejecutando en el host está haciendo ping a la máquina?

-1voto

PierreBdR Puntos 11479

Sólo una conjetura.. pero esto podría ser una "función" para registrar la dirección MAC del cliente siempre que la máquina responde a un ping de la serie o de cierto número de pings. Podría ser útil la información para el seguimiento de ping spam.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: