2021年12月23日 星期四

ARP 廣播封包苦主

下午想要修一個 bug 時,板子一直無法取得 IP,抓了封包一看,又是一堆 ARP 廣播封包在網路流竄。

比較特別的是,不像兩年前一樣,是某台設備網路設定有誤才導致狂發廣播封包。稍微看了一下,只看到很多台電腦像是很正常的在問某些電腦的 MAC,單只看一台的網路流量不會很多,偏偏看起來是一整個子網路的每台電腦都有狂問 ARP 的現象,於是又把我的板子打掛了。

一時之間,福至心靈,突然覺得會不會跟最近疑似 IT 透過群組原則自動安裝的 ivanti 管理軟體有關?在 Google 大神的幫助之下,果然有人也有這個問題,看起來是跟尋找設備的 agent 有關,因為 agent 要 ping 電腦,故才會一直發 ARP 封包,而我猜那些電腦應該是沒有上網的,故也沒有回應?

該 agent 使用 XDD 協定來尋找設備,簡單來說 agent 會監聽 ARP 廣播封包,當它發現有新的設備出現在網路上時,便把該 IP 記錄起來,並在各個 agent 間協調,只有一台 agent 會負責 ping 新設備。

聽起來是很棒啦?但該軟體一定是那邊沒做好,才會導致這個情況,光所謂的協調我覺得要考慮的點就很多了。



從 C:\ProgramData\LANDesk\Log\SelfElectController.log 中,確實也可以看到相關跡象。


2021/12/24 更新

今天除了找到 Go package 來發送 ARP 封包,也找到 Win32 API 來發送 ARP 封包,要做測試就更方便了。

沒有留言:

張貼留言