图11 B主机与C恢复通讯
3.实验结论
主动制造IP地址冲突的Linux主机会发送多次免费ARP,被冲突的Linux主机会返回1个免费ARP,通讯过程中存在通过ARP请求互相抢IP的现象。
随后,以相同的方式模拟了SUSE系统IP地址被冲突、Windows系统IP地址被冲突、Windows系统主动制造IP地址冲突三组实验,得出实验结论如下。
表1 不同系统在IP地址冲突时的ARP交互情况
经过上述测试以及其它技术了解,我们总结了宿主机(凡是配置了ip地址并存活于网络中的产品)对ip地址冲突的反应机制,下表列出部分涉及到的产品。
表2 不同产品在IP地址冲突时日志记录及ARP交互情况
注:表中“是”与“否”只针对对测试过的版本与产品型号有效,不确保对该产品不同系列或不同版本有效
IP地址冲突检测方案1.方案一:主机日志与网络syslog监控
针对可进行ip地址冲突日志记录的宿主机,可对其产生的对应日志进行监控分析并产生告警;针对可发出ip地址冲突syslog的网络设备,可对syslog进行解析监控与告警。
图12 SUSE系统在IP地址冲突时的日志样例
2.方案二:报文MAC检测
通过流量采集设备采集网络中所有流量,并将ip及对应MAC地址解析出来后,发送至大数据分析平台,将其中网络设备的MAC地址进行过滤后,如果发现1个ip地址对应多个不同MAC地址,则判定可能存在ip地址冲突。