关于PING网关TTL值由255变为64的处理过程

目前内网中有台电脑出现了一个很奇怪的现象,该电脑IP为192.168.1.1/25,网关为192.168.1.126,使用某业务软件客户端有时出现卡顿的现象,甚至有连接不上服务端10.X.X.X的情况,但是一般浏览网页又是正常的,更换了交换机端口、网线,更新了网卡驱动,问题依旧。

排查的时候发现,当出现业务软件卡顿的时候,ping网关也不丢包,但是TTL值会从255变为64,TTL如果发生改变,一般是网关有地址冲突,或者arp欺骗等相关情况。

ping网关时当TTL值是255时,使用arp -a可以查看192.168.1.124和192.168.1.126的MAC都是11-22-33-44-55-66,由于启用了VRRP,所以会出现这种情况,并且当TTL变为64时,使用arp -a可以看到假冒的网关的MAC11-22-33-44-55-AA,根据该MAC地址可以查询到网卡厂家,刚好内网中只存在一台该品牌的设备,基本可以定位出假冒网关的设备了,是一台XX品牌的终端设备,并不是一台电脑。

该终端上的菜单里查看到的MAC是11-22-33-44-55-BB,发现并非刚才arp -a看到的MAC地址 11-22-33-44-55-AA,并且其配置的IP是192.168.1.20/25,但是该设备配置的网关是错误的,其配置的网关是192.168.2.254,配置的这个网关和IP都不在同一网段,但是该终端竟然也可以配置上。

拿笔记本直连该终端,笔记本配置192.168.1.X/25,ping通终端192.168.1.20后,查看arp,发现该终端的MAC的确是 11-22-33-44-55-AA ,该终端显示屏上的MAC竟然是错误的。

将终端的网关修改为正确的192.168.1.126后,电脑192.168.1.1上软件客户端使用正常,并且ping网关192.168.1.126的TTL值一直是255,问题解决。