Почему у меня есть эти записи в кэше ARP для адресов далеко за пределами моей сети?
$ ip -4 neigh show dev eno1
209.132.181.16 FAILED
152.19.134.142 FAILED
85.236.55.6 FAILED
152.19.134.198 FAILED
8.43.85.67 FAILED
140.211.169.206 FAILED
Как эти странные записи IP-соседей (ARP) могли появляться на моем интерфейсе Ethernet?
eno1 — интерфейс Ethernet. В настоящее время он не подключен. Основано на journalctl -b | grep eno1, не думаю, что я его вообще подключал во время этой загрузки! Я не использую статический IP. Я не менял настройки IP вручную во время этой загрузки. Все сетевые настройки управляются NetworkManager. Я подключался только к своим домашним сетям, которые используют только адреса в частном диапазоне 172.16.0.0 - 172.31.255.255.
Например, при моем текущем беспроводном соединении я вижу, что мой адрес — 172.16.8.139/24. Это говорит о том, что префикс сети составляет 24 бита, поэтому разрешение ARP должно быть ограничено диапазоном 172.16.8.0 - 172.16.8.255.
$ ip -4 addr show dev wlp2s0
4: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
inet 172.16.8.139/24 brd 172.16.8.255 scope global dynamic noprefixroute wlp2s0
valid_lft 39441sec preferred_lft 39441sec
$ ip -4 neigh show dev wlp2s0
172.16.8.1 lladdr 74:44:01:86:42:d6 REACHABLE
$ lsb_release -d
Description: Fedora release 29 (Twenty Nine)
$ rpm -q NetworkManager dhcp-client
NetworkManager-1.12.6-5.fc29.x86_64
dhcp-client-4.3.6-28.fc29.x86_64
Мой маршрутизатор — OpenWRT 18.06.1, поэтому DHCP-сервер — dnsmasq.
Как называются «соседи»? -Моя первая идея.
$ ip -r -4 neigh show dev eno1
proxy01.fedoraproject.org FAILED
vm3.fedora.ibiblio.org FAILED
6-55-236-85.rev.customer-net.de FAILED
vm18.fedora.ibiblio.org FAILED
proxy13-rdu02.fedoraproject.org FAILED
proxy14.fedoraproject.org FAILED
proxy09.fedoraproject.org FAILED
Он пытается подключиться к определенной -службе Fedora. т.е. система использует некоторые сетевые службы. Fedora предоставляет его. (И/или ibiblio.org предоставляют услуги Fedora, используя определенное имя хоста и т. д. )Эти хосты, скорее всего, в первую очередь предоставляют некоторые веб-сервисы (HTTP/HTTPS ). «прокси» в имени хоста обычно означает некоторую форму веб-прокси, и их можно использовать в качестве внешнего интерфейса по разным причинам, например. кэширование или балансировка нагрузки.
Почему я должен видеть такие вне -из -записей диапазона ARP? -Самый большой вопрос.
Я нашел ответ на StackOverflow.:Почему ARP запрашивает не -локальный адрес?
Когда один интерфейс вообще не имеет адресов/маршрутов, но вы явно указываете Linux использовать его для передачи, Linux будет считать, что ваш целевой адрес находится на ссылке -.[ *] Комментарий об этой функции в исходный код ядра . Вот наглядный пример:
$ sudo traceroute --udp -i eno1 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
^C
$ ip neigh show dev eno1 | grep 8.8.8.8
8.8.8.8 INCOMPLETE
Я полагаю, что вижу эти попытки подключения из-за NetworkManager. У меня нет никакого другого программного обеспечения, которое могло бы попытаться связаться с веб-службой, используя определенный интерфейс. (Обратите внимание, что для этой операции требуются привилегии. В приведенном выше примере мне пришлось использовать sudoдля запуска traceroute через определенный интерфейс ).
NetworkManager использует веб-службу для проверки подключения к Интернету и обнаружения авторизованных порталов. Это упоминается в разделе CONNECTIVITY документа man NetworkManager.conf.
Похоже, что NetworkManager проверял этот интерфейс, несмотря на то, что знал, что на нем нет соединения :-).
[*] Это означает, что IP-адрес отправителя в ARP-пакете взят с другого интерфейса :-). Или, если я отключу другие свои интерфейсы (WiFi и virbr0), запрос ARP использует 0.0.0.0 в качестве исходного адреса :-). Я проверил это, используя tcpdump,и второй компьютер, подключенный напрямую кабелем Ethernet.