У нас есть сервер Windows 2003r2, который периодически отправляет ARP-запросы нескольким устройствам, которых больше нет в сети. Результатом этого является нарушение работы ПЛК, работающего по протоколу Modbus.
На сервере работают DHCP, службы печати и общий доступ к файлам в нашей сети, и мы еще не пытались отключить его. Он работает на выделенном сервере IBM с объединением сетевых адаптеров.
В худшем случае сервер отправит около 4 запросов Who Has в течение 1 миллисекунды той же группе устройств, из которых ПЛК является одним из них - это странно, поскольку он находится в сети - может быть, это не поддерживает ARP?
No. Time Source Destination Protocol Length Info
1522 11:49:26.578133000 Ibm_28:2d:e6 Broadcast ARP 60 Who has 192.168.6.245? Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)
Frame 1522: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
1523 11:49:26.578137000 Ibm_28:2d:e6 MoxaTech_2d:ec:26 ARP 60 Who has 192.168.6.193? Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)
Frame 1523: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: MoxaTech_2d:ec:26 (00:90:e8:2d:ec:26)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
1524 11:49:26.578139000 Ibm_28:2d:e6 192.168.6.73 ARP 60 Who has 192.168.6.73? Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)
Frame 1524: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: 192.168.6.73 (00:15:b7:44:58:52)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
1525 11:49:26.578148000 192.168.6.73 Ibm_28:2d:e6 ARP 42 192.168.6.73 is at 00:15:b7:44:58:52 (duplicate use of 192.168.6.227 detected!)
Frame 1525: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0
Ethernet II, Src: 192.168.6.73 (00:15:b7:44:58:52), Dst: Ibm_28:2d:e6 (00:14:5e:28:2d:e6)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (reply)
No. Time Source Destination Protocol Length Info
1526 11:49:26.578723000 Ibm_28:2d:e6 Inventec_88:ea:a4 ARP 60 Who has 192.168.6.38? Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)
Frame 1526: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Inventec_88:ea:a4 (00:26:6c:88:ea:a4)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
1527 11:49:26.578725000 Ibm_28:2d:e6 Hewlett-_dc:a8:b2 ARP 60 Who has 192.168.6.200? Tell 192.168.6.227
Frame 1527: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Hewlett-_dc:a8:b2 (b4:99:ba:dc:a8:b2)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
1528 11:49:26.578727000 Ibm_28:2d:e6 192.168.6.56 ARP 60 Who has 192.168.6.56? Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)
Frame 1528: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: 192.168.6.56 (00:00:54:10:77:b5)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1527)]
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
1529 11:49:26.578729000 Ibm_28:2d:e6 Fuji-Xer_2a:7f:c6 ARP 60 Who has 192.168.6.245? Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)
Frame 1529: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Fuji-Xer_2a:7f:c6 (08:00:37:2a:7f:c6)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1527)]
Address Resolution Protocol (request)
Включен захват от Wireshark, который отслеживает порт ПЛК на коммутаторе. вышеприведенный вывод повторяется еще 5 раз один за другим. Это, в свою очередь, убивает вывод Modbus.
Кажется, что это происходит на полурегулярной основе - он будет выплевывать около 40 кадров (4 или 5 итераций), как указано выше, а затем через 3 секунды он будет выплевывать только один лот (одна итерация).
У меня: перезапущены службы печати; очищенный кеш ARP; и убедился, что эти хосты демонстративно не существуют.
Любая помощь будет принята с благодарностью!
Изменить: изображение прикреплено:
Wireshark Capture
Если ваш ПЛК выходит из строя из-за каких-то случайных пакетов ARP, я думаю, вам стоит изолировать сеть ПЛК! Это не чрезмерный объем трафика, и, если нет конфликта MAC или IP-адресов с ПЛК, я действительно не понимаю, как / почему ПЛК должен давать сбой.
Если я правильно понял, похоже, что объединенные сетевые адаптеры отвечают за один и тот же IP-адрес. Я не думаю, что это ваша проблема, но я хотел назвать это возможным отвлекающим маневром.
Возможно, у вас есть какая-то служба на машине, которая пытается связаться с этими теперь отключенными устройствами. Если вы хотите найти службу, возможно, вам повезет, если вы ответите на эти запросы ARP, а затем увидите, какой протокол сервер пытается использовать для связи с местом назначения.
Интересно, видите ли вы эта проблема с некоторыми драйверами Broadcom и ARP-флудом, хотя количество ваших пакетов недостаточно велико, чтобы быть проблемой, описанной на форуме.