我做了一个 tcpdump 捕获,在检查结果时,我看到了一些我无法理解的数据。
假设我进行捕获的盒子的主机名是 box1.blah
我看到这样的交通:
box2.blah:45134 > box3.blah:7802
现在,我知道该流量是什么,它是用于 HP NNMi 的应用程序故障转移功能的流量,box2 是我的主要 NNMi 盒,box3 是我的故障转移盒。
我知道当 tcpdump 启动时 box1 NIC 进入混杂模式,但我认为您只能在使用老式集线器、无线、广播或多播流量时看到未发送给您的流量?
这些情况都不是真的。
发生什么了?
查看数据包的实际硬件目的地。仅仅因为 IP 不是广播并不意味着硬件目的地不能。故障转移等功能通常通过广播流量(发送到 ff:ff:ff:ff:ff:ff)运行,子网中的每个端口都可以看到这些流量。如果目标是不是您的 PC 的 mac 地址,并且交换机应该已经知道它(即该主机处于活动状态),那么由于您所说的原因,数据包不应该发送给您。如果您有捕获文件,请使用 Wireshark 之类的工具打开它,您将能够深入了解很多细节。
您可能正在查看所谓的Unicast Flooding。
当交换机接收到一个它不知道其目标 MAC 地址的帧时,它会将其泛洪出所有端口。有关该过程以及交换机如何在此线程中工作的更多详细信息:交换机 如何学习不在其查找表中的 MAC 地址?
这是以太网中的正常行为。没什么好担心的。
担心的原因是您是否始终如一地看到这一点,并且“box3”mac地址已连接并定期发送帧。