现象:某笔记本装有 Window XP,启动后 DHCP 成功拿到地址,然而域名不能解析、ping 网关不通;查了防火墙配置没有问题。
因为是 Windows,最先怀疑是病毒。看来一下进程、注册表的 run 项、服务,没有显见的病毒。但 Windows 上啥工具都没有,查不了。
找了个 Ubuntu Live CD 启动,现象一样,于是排除病毒作恶。tcpdump 观察,见到了 ICMP echo request,发包正常,也看见了 ICMP echo reply,但是 ping 命令说超时;用 nslookup 解析尝试域名,同样见到了 DNS 服务器返回了解析的结果,但是 nslookup 程序也说查询超时。
到底是哪里丢了包?Linux 的 netstat -s 信息太少了,看不出错误。难道是硬件上的问题?虽不合逻辑,但一时想不到别的原因。
正要怪罪于硬件的时候,随手 ping 了个同网段别的地址,竟然通了。这才想到了观察 arp 表,登录到那个同网段的机器,arp -na 显示了网关的 MAC 地址,再看本机上 arp 表中网关的地址,赫然发现两者不一样。再用 tcpdump 监听 ARP 请求和应答,果然看到了两个不同的 arp reply。
问题定位了,可以想到是网关的配置问题,或者网络中有人在干邪恶的事情...,换一个口接到别的网段,一切正常了。懒得跟 lab 那帮人打交道了,到此可不用深究了。