Os iPads causam relatórios duplicados do arp-scan, por quê?

1

Eu tenho uma situação como esta:

  1. LAN Gigabit Ethernet isolada com um punhado de caixas Linux e Macs nele
  2. O ponto de acesso sem fio Airport Extreme também está conectado ao LAN
  3. Dois iPads conversando com o sistema via Airport Extreme e Wifi
  4. Os iPads estão configurados para usar as configurações de endereço IP estático. Um iPad é defina para o endereço IP 192.168.8.38 e o outro é definido como 192.168.8.39.
  5. Uma das caixas do Linux executa periodicamente o arp-scan e informa se algum endereço IP duplicado está presente na rede local.

O problema é que às vezes (nem sempre), o processo arp-scan informa que os endereços MAC dos dois iPads estão usando o mesmo endereço IP. Quando isso acontece, a saída do arp-scan mostra os endereços MAC do iPad associados ao endereço IP 192.168.8.39. (Isso apesar de verificarmos manualmente se os dois iPads têm endereços IP e endereços MAC distintos olhando suas páginas de configurações de rede na tela)

Além deste relatório do arp-scan, a comunicação com os iPads parece funcionar bem.

Alguém sabe o que pode causar esse comportamento? Tudo o que posso pensar é que os endereços MAC dos iPads podem ser divididos para o mesmo valor de alguma forma e, portanto, eles estão sobrescrevendo uns aos outros em alguma estrutura de dados ... ou que o iPad definido para 192.168.8.38 ocasionalmente "vagueia" e usa o endereço ao lado, apesar de estar configurado para um endereço IP estático. Nenhuma dessas hipóteses parece muito provável para mim. : ^ (

    
por Jeremy Friesner 23.09.2011 / 17:48

2 respostas

3

Este parece ser um caso do Apple Sleep Proxy Service.

link

"Quando um Sleep Proxy vê um ND IPv4 ARP ou IPv6 ND Request para um dos endereços do dispositivo de suspensão, ele responde em nome do dispositivo adormecido, sem ativá-lo, fornecendo seu próprio endereço MAC como proprietário atual (temporário) desse endereço. "

    
por 03.11.2011 / 15:09
2

Uma varredura ARP geralmente funciona enviando uma solicitação ARP para cada endereço IP em uma sub-rede específica, portanto, não vejo como é provável que os endereços MAC estejam sendo divididos (nem tenho certeza do que isso significa) e Eu não acho que seja um problema de cache, já que estou assumindo que a máquina que está iniciando a varredura ARP não usa seu próprio cache ARP durante a varredura e, se isso acontecer, ele o libera antes da varredura.

A única coisa em que consigo pensar é que o WAP está executando algum tipo de proxy ARP para os clientes conectados?

    
por 23.09.2011 / 18:40