Servidor Windows enviando solicitações ARP constantes para dispositivos offline

2

Temos um servidor Windows 2003r2 que está enviando solicitações ARP intermitentes para vários dispositivos que não estão mais na rede. O resultado disso é a interrupção de um CLP que está sendo executado pelo modbus.
O servidor executa DHCP, serviços de impressão e compartilhamento de arquivos em nossa rede e ainda não tentamos desativá-lo. Ele está sendo executado em um servidor IBM dedicado com formação de equipes nas NICs. Na pior das hipóteses, o servidor enviará cerca de 4 Who Has solicitações no espaço de 1 mili segundo para o mesmo grupo de dispositivos, dos quais, o PLC é um deles - isso é estranho, pois é na rede - talvez não suporta ARP?

No.     Time               Source                Destination           Protocol Length Info
1522 11:49:26.578133000 Ibm_28:2d:e6          Broadcast             ARP      60     Who has 192.168.6.245?  Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)

Frame 1522: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)

No.     Time               Source                Destination           Protocol Length Info
   1523 11:49:26.578137000 Ibm_28:2d:e6          MoxaTech_2d:ec:26     ARP      60         Who has 192.168.6.193?  Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)

Frame 1523: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: MoxaTech_2d:ec:26 (00:90:e8:2d:ec:26)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by     00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)

No.     Time               Source                Destination           Protocol Length Info
   1524 11:49:26.578139000 Ibm_28:2d:e6          192.168.6.73          ARP      60         Who has 192.168.6.73?  Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)

Frame 1524: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: 192.168.6.73      (00:15:b7:44:58:52)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by    00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)

No.     Time               Source                Destination           Protocol Length Info
   1525 11:49:26.578148000 192.168.6.73          Ibm_28:2d:e6          ARP      42         192.168.6.73 is at 00:15:b7:44:58:52 (duplicate use of 192.168.6.227 detected!)

Frame 1525: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0
Ethernet II, Src: 192.168.6.73 (00:15:b7:44:58:52), Dst: Ibm_28:2d:e6     (00:14:5e:28:2d:e6)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by  00:14:5e:28:2d:e7 (frame 1437)]
 Address Resolution Protocol (reply)

No.     Time               Source                Destination           Protocol Length Info
   1526 11:49:26.578723000 Ibm_28:2d:e6          Inventec_88:ea:a4     ARP      60     Who has 192.168.6.38?  Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)

Frame 1526: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Inventec_88:ea:a4 (00:26:6c:88:ea:a4)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by  00:14:5e:28:2d:e7 (frame 1437)]
Address Resolution Protocol (request)

No.     Time               Source                Destination           Protocol Length Info
   1527 11:49:26.578725000 Ibm_28:2d:e6          Hewlett-_dc:a8:b2     ARP      60         Who has 192.168.6.200?  Tell 192.168.6.227

Frame 1527: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Hewlett-_dc:a8:b2 (b4:99:ba:dc:a8:b2)
Address Resolution Protocol (request)

No.     Time               Source                Destination           Protocol Length Info
   1528 11:49:26.578727000 Ibm_28:2d:e6          192.168.6.56          ARP      60         Who has 192.168.6.56?  Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)

Frame 1528: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: 192.168.6.56 (00:00:54:10:77:b5)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1527)]
Address Resolution Protocol (request)

No.     Time               Source                Destination           Protocol Length Info
   1529 11:49:26.578729000 Ibm_28:2d:e6          Fuji-Xer_2a:7f:c6     ARP      60         Who has 192.168.6.245?  Tell 192.168.6.227 (duplicate use of 192.168.6.227 detected!)

Frame 1529: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface 0
Ethernet II, Src: Ibm_28:2d:e6 (00:14:5e:28:2d:e6), Dst: Fuji-Xer_2a:7f:c6 (08:00:37:2a:7f:c6)
[Duplicate IP address detected for 192.168.6.227 (00:14:5e:28:2d:e6) - also in use by 00:14:5e:28:2d:e7 (frame 1527)]
Address Resolution Protocol (request)

Inclui-se uma captura do Wireshark que está monitorando a porta do PLC no switch. a saída acima é repetida mais 5 vezes uma após a outra. Isso, por sua vez, mata a saída do modbus.
Parece acontecer em uma base semi-regular - ele vai cuspir cerca de 40 quadros (4 ou 5 iterações) como acima, e depois 3 segundos depois, ele vai cuspir apenas um lote (uma iteração).
Eu tenho: serviços de impressão reiniciados; cache ARP descarregado; e certifique-se de que esses hosts não existam desafiadoramente.
Qualquer ajuda seria muito apreciada !!
Editar: Imagem anexada:
Captura do Wireshark

    
por user1693454 03.10.2012 / 05:56

1 resposta

1

Se o seu PLC está falhando por causa de alguns pacotes ARP perdidos, quando eu acho que você faria bem em isolar a rede PLC! Isso não é uma quantidade excessiva de tráfego e, a menos que haja um conflito de endereço MAC ou IP com o PLC, eu realmente não vejo como / porque o CP deve estar falhando.

Parece que as NICs agrupadas estão respondendo pelo mesmo IP, se eu estiver lendo isso corretamente. Eu não acho que esse seja o seu problema, mas eu gostaria de chamá-lo como um possível arenque vermelho.

É possível que você tenha algum serviço na máquina que está tentando se comunicar com esses dispositivos desconectados agora. Se você quiser localizar o serviço, talvez tenha sorte fazendo algo responder para essas solicitações ARP e, em seguida, ver qual protocolo o servidor tenta usar para se comunicar com o destino.

Gostaria de saber se você pode estar vendo este problema com alguns drivers Broadcom e flooding ARP , embora sua contagem de pacotes não soe alta o suficiente para ser o problema descrito no fórum.

    
por 03.10.2012 / 06:19