STCP는 꽤 오랜 시간 동안 중복 IP 주소 감지를 했다 하지만 어떻게 마이크로소프트 윈도우 2008 그리고 7 행동 에 변경 흥미로운 주름을 추가 했습니다.
먼저 어떻게 작동하는지 살펴보겠습니다.
중복 IP 주소 검색은 주소 해결 프로토콜(ARP)에 의존합니다.
packet_monitor 도구는 ARP 패킷을 두 줄로 표시합니다.
11:13:43.123 Rcvd Ether Dst ff:ff:ff:ff:ff:ff:ff:ff Src 00:13:d4:59:7a:da Type 0806 (ARP)
ARP Req 대상 164.152.77.217 Src 164.152.77.34 [00:13:13:d4:59:7a:da]
어디
|
STCP는 Src 필드를 살펴보고 수신된 인터페이스의 IP 주소와 일치하는 경우 STCP는 syserr_log 중복 IP 주소를 보고하고, 메시지 형식으로 표시됩니다.
<time> WARNING (<index>): MAC address <MAC address> is using our IP address <IP address>
예를 들어:
11:13:43 경고(5): MAC 주소 00:13:d4:59:7a:da는 우리의 IP 주소 164.152.77.34를 사용하고 있습니다.
"MAC"는 미디어 액세스 제어를 의미하며 MAC 주소를 아는 것은 불쾌한 호스트의 식별에 대한 몇 가지 단서를 제공합니다. 주소의 처음 3바이트는 조직 고유 식별자(OUI)라고 하며 이더넷 카드 또는 호스트에 대해 결정하는 데 사용할 수 있습니다. 예를 들어, Stratus에는 등록된 OUI 2개, 00-00-A8 및 00-04-FC가 있습니다. 당신은 http://standards.ieee.org/develop/regauth/oui/public.html 어떤 OUI를 조회 할 수 있습니다
STCP를 비롯한 많은 호스트가 부팅하거나 IP 인터페이스가 구성될 때 무상 ARP라고 하는 내용을 보냅니다. 이 프레임은 기본적으로 자체 IP 주소를 찾습니다. 다음은 인터페이스 중 하나를 제공하면서 다른 VOS 모듈에서 보낸 무상 ARP를 보여주는 packet_monitor 추적의 예입니다. 대상 필드와 Src 필드 모두 IP 주소가 동일합니다.
10:19:53.045 Rcvd Ether Dst ff:ff:ff:ff:ff:ff:ff:ff Src 00:00:a8:41:3b:6e Type 0806 (ARP)
ARP Req 대상 164.152.77.34 Src 164.152.77.34 [00:00:a8:41:3b:6e]
좋아, 그래서 나는이 게시물의 시작 부분에 언급 된이 주름은 무엇입니까?
윈도우2008 및 윈도우 7을 시작으로, 마이크로 소프트 TCP 스택0.0.0.0.0으로설정 된 Src 필드와 무상 ARP를 보냅니다.
10:45:10.530 Rcvd Ether Dst ff:ff:ff:ff:ff:ff:ff Src 1c:c1:de:b4:76:60 유형 0806 (ARP)
ARP Req 대상 164.152.77.34 Src 0.0.0.0 [1c:c1:de:b4:76:60]
그 결과 STCP는 이더넷 주소에 대한 "일반" 쿼리라고 생각하고 정상적인 회신으로 응답합니다.
10:45:10.530 Xmit 이더 Dst 1c:c1:de:b4:76:60 Src 00:00:a8:41:3b:6e 타입 0806 (ARP)
ARP 담당자 대상 0.0.0.0 [1c:c1:de:b4:76:60] Src 164.152.77.34 [00:00:00:a8:41:3b:6e]
중복 IP 주소의 표시를 기록하지 않습니다. 좋은 소식은 Windows 스택중복을 인식하 고 양식의 링크 로컬 주소로 전환 됩니다 169.254.X.Y.
마이크로소프트는 왜 이런 변화를 주었는가? STCP를 포함한 많은 TCP 스택이 ARP 프레임에 포함된 이더넷 주소로 소스 IP 주소에 대한 ARP 캐시 항목을 업데이트할 것으로 보입니다. IP 주소가 중복된 경우 패킷이 복제 호스트로 리디렉션될 때 중복된 IP 주소에 대한 현재 연결이 끊어지게 됩니다. Src 필드를 0.0.0.0으로 변경하면 StCP 스택(STCP 포함)이 ARP 캐시 항목을 업데이트하지 못하게 됩니다.
회사