IP冲突

jingzhao-lu · ‎03-04-2024

我司的dhcp服务器每天都会收到20个左右的 bad address 的错误，然后我用Wireshark收集我的DHCP服务器的网络日志，每次有bad address的错误都会收网关发送给DHCP服务器的信息（如下图），我的猜测是该IP应该是在L3上的ARP表上被占用了，导致网关发信息给DHCP说IP冲突，但我查看L3的ARP表上没有查到主动冲突的设备的任何信息。我现在如何能抓到这个主动冲突的设备的信息呢？

ilay · ‎03-05-2024

1.排查出现冲突的那个广播域内有没有双网卡同时连接的情况 //如果是给服务器分地址有可能会比较好查，普通客户端则不太好查了。

2.出现Decline报文的原因是终端在收到地址之后使用广播报文发送request进行确认的阶段，收到了其他能应答该地址的回应。单纯说ARP表占用不算太准确

3.可以尝试在相应的网段里面抓一下dhcp的包，如果情况又复现的话应该可以抓到一些有用的包

在出现冲突的那个广播域内

jingzhao-lu · ‎03-05-2024

谢谢答复

现在调查出来，有一台PC 不知道为什在某个时间点没经过DHCP 使用了一个IP （猜想是静态分配）。最少没经过我知道DHCP，看来要针对这台pc抓包才知道是什么问题。

YilinChen · ‎03-18-2024

dhcp snooping 功能用起来