Saya (dan seorang kolega) baru saja memperhatikan, dan menguji, bahwa ketika mesin Linux melakukan ping, setelah ping terakhir, ia memulai permintaan ARP unicast ke mesin yang memulai ping ICMP. Saat melakukan ping ke mesin Windows, mesin Windows tidak mengeluarkan permintaan ARP di akhir.
Adakah yang tahu apa tujuan permintaan ARP unicast ini, dan mengapa itu terjadi di Linux dan bukan pada Windows?
Jejak Wireshark (dengan 10.20.30.45 menjadi kotak Linux):
No.Time Source Destination Prot Info
19 10.905277 10.20.30.14 10.20.30.45 ICMP Echo (ping) request
20 10.905339 10.20.30.45 10.20.30.14 ICMP Echo (ping) reply
21 11.904141 10.20.30.14 10.20.30.45 ICMP Echo (ping) request
22 11.904173 10.20.30.45 10.20.30.14 ICMP Echo (ping) reply
23 12.904104 10.20.30.14 10.20.30.45 ICMP Echo (ping) request
24 12.904137 10.20.30.45 10.20.30.14 ICMP Echo (ping) reply
25 13.904078 10.20.30.14 10.20.30.45 ICMP Echo (ping) request
26 13.904111 10.20.30.45 10.20.30.14 ICMP Echo (ping) reply
27 15.901799 D-Link_c5:e7:ea D-Link_33:cb:92 ARP Who has 10.20.30.14? Tell 10.20.30.45
28 15.901855 D-Link_33:cb:92 D-Link_c5:e7:ea ARP 10.20.30.14 is at 00:05:5d:33:cb:92
Pembaruan: Saya baru saja mencari lebih banyak di Google untuk permintaan ARP unicast , dan satu-satunya referensi berguna yang saya temukan adalah di RFC 4436 yaitu tentang "Mendeteksi Lampiran Jaringan" (dari 2006). Teknik ini menggunakan ARP unicast untuk memungkinkan host untuk menentukan apakah itu terhubung kembali ke jaringan yang sebelumnya dikenal. Tapi saya tidak melihat bagaimana ini berlaku untuk permintaan ARP sebagai hasil dari melakukan ping. Jadi misterinya tetap ...
Saya pikir itu bug. Jejak berikut dari ping ke alamat yang ada di cache ARP tetapi basi. Saya tidak bisa memikirkan alasan bagus untuk unicast ARP dua kali dalam waktu singkat. Ini dengan 4.14.15 tetapi saya telah melihat perilaku pada banyak versi kernel.
sumber
Hanya tebakan .. tapi ini bisa menjadi 'fitur' untuk mencatat alamat MAC klien kapan pun mesin menjawab serangkaian ping atau sejumlah ping. Ini bisa menjadi informasi yang berguna untuk melacak spam ping.
sumber