Странно: почему Linux отвечает на ping с запросом ARP после последнего ответа ping?
Сервис Windows Update
wuauclt.exe
/demoui
/a /ResetAuthorization
/r /ReportNow
/detectnow
Эта единственная команда имеет большую мифологию, окружающую его. Это не сообщает ни о каких ошибках, не имеет никакого диалогового окна справки, и единственный реальный вывод выполняется для /demoui. Но это действительно работает, я думаю.
Linux отправляет различные одноадресные запросы ARP для обновления, это - кэш ARP. Это должно предотвратить устаревший (и потенциально злонамеренный) записи кэша ARP.
Существует несколько ситуаций, где одноадресно переданный ARP используется, в основном для проверки кэша ARP. Если запись является устаревшей, то нейтрализация должна широковещательно передать ARP.
Это обсуждено в RFC1122 2.3.2.1
Я думаю, именно это это делает, относительно того, почему, мое первое предположение было бы своего рода мерой антиспуфинга. Пакеты ARP всегда никогда не направляются, таким образом, я предполагаю, что Вы делаете это на своей локальной LAN? Эта ситуация последовательно происходит каждый раз, когда Вы проверяете с помощью ping-запросов хост, или Вы только что проследили одно время? В этом случае кэш ARP для того хоста, возможно, испытывал таймаут по совпадению.
Что ОС работает на хосте, от которого Вы проверяете с помощью ping-запросов машину?
-
1Спасибо за ссылку RFC. Я думал, что тайм-ауты были способом по умолчанию избавиться от старых arp записей и сохранить размер кэша ARP ограниченным. Последний doesn' t, кажется, сделаны путем выполнения, одноадресно передает ARPs (но возможно существует тайм-аут также). We' ve протестировал это на локальном испытательном стенде LAN 3 раза (дважды от машины Linux и однажды от машины WinXP). I' ve также протестировал это на ' real' LAN путем проверки с помощью ping-запросов от моего ПК (WinXP) к Ubuntu 9.04 VMware, работающей на моем ПК. Тот же результат, та же синхронизация (2 секунды). – Rabarberski 6 November 2009 в 14:29
-
2Сделайте у Вас есть любая ссылка на ' Linux отправляет различные одноадресные запросы ARP...' требование? – Rabarberski 6 November 2009 в 14:31
Просто предположение.. но это могло быть 'функцией' для входа MAC-адреса клиента каждый раз, когда машина отвечает на ряд ping или определенное число ping. Это могла быть полезная информация для того, чтобы разыскать спам ping.
-
1Но этот ' feature' wouldn' t требуют отсылки запроса ARP, так как массово разосланная машина, возможно, уже извлекла MAC-адрес из запроса ping ICMP. – Rabarberski 5 November 2009 в 17:07
Думаю, это ошибка. Следующая трассировка - от эхо-запроса до адреса, который находится в кэше ARP, но устарел. Я не могу придумать какой-либо веской причины для одноадресной ARP-рассылки дважды за такое короткое время. Это с 4.14.15, но я видел такое поведение во многих версиях ядра.
root@observer:~# tcpdump -nevi eth0 arp
device eth0 entered promiscuous mode
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:11:57.362910 42:5f:03:40:00:43 > 42:5f:03:40:00:22, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.1.2.1 tell 10.1.2.2, length 28
13:11:57.363018 42:5f:03:40:00:22 > 42:5f:03:40:00:43, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Reply 10.1.2.1 is-at 42:5f:03:40:00:22, length 28
13:11:57.392890 42:5f:03:40:00:22 > 42:5f:03:40:00:43, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.1.2.2 tell 10.1.2.1, length 28
13:11:57.393049 42:5f:03:40:00:43 > 42:5f:03:40:00:22, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Reply 10.1.2.2 is-at 42:5f:03:40:00:43, length 28