blackdevil
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем!
Заметил я это недавно, не знаю проявлялось до этого или нет. В общем дело такое. Есть рабочая группа на 20 машин. В ней крутится WinServer2000 (на обновление денег не выделяют) и сервер на Debian Linux. Заметил в логах линукса, что идет переполнение arp таблицы (neighbour table overflow), запустил сетевой снифер Wireshark и стал смотреть. Обнаружилось, что внутренний интерфейс WinServer2000, имеющий ip 192.168.0.1 и маску 255.255.0.0 (маска действительно нужна такая), постоянно посылает широковещательные arp запросы, пытаясь определить мак адрес КАЖДОЙ машины в сети, даже если такого компьютера в сети не существует...То есть тупо идет по порядку перебором по айпишникам и для каждого адреса посылает arp, пытаясь определить mac. Зачем ему это - непонятно. Еще более непонятно как это остановить...Почитал в гугле, пишут может зависеть от какой-то службы...например спулер печати...Пробовал отключать диспетчер очереди печати, вырубать антивирус, проксю, фтп, wins, dns...Разве что только mysql не тормозил, но его нельзя, т.к. там база 1с крутится. Еще заметил, что днем такого не происходит. ARP-шторм идет утром часов до 11ти, а потом повторяется вечером часа в 3-4, сегодня точно промониторю как оно по времени.
В общем мыслей о причинах явления никаких...Может кто сталкивался уже с таким или просто даст наводку, куда копать...
Прилагаю скрин Wireshark, может он натолкнет на мысли: http://rghost.net/4281781/image.png |
