局域网内的一个同事使用基于P2P的电影播放软件PPLIVE来观看现在电影,我用SNIFFER 抓包看了一下,并查看sniffer的专家系统，发现存在大量的Local Routing（本地路由）告警，sniffer中对此告警的解释为：Two DLC stations on the same segment are communicating via a router. Packets are being transmitted via the router rather than directly from one DLC station to the other（大致意思是两个属于同一网段的主机之间通过路由器通信，数据包通过路由器发送而不是直接在两主机间转发）。并提示可能原因为路由表设置不当。
我现在不是很清楚为什么会出现如此多的localrouting的包,难道是许多别的通过PPLIVE观看电影的拥护也用的是内网IP地址(192.168.0.*,我同事的的IP是192.168.0.111),现在好象就这个说明能够说的通了,希望有知道的大虾出来指点以下小弟?

还有就是下图中红色框中的包(Redirect datagrams for host)是什么数据包呢?

你同事的网关配置为0.4，实际的路由是0.1，所以会提示这些。

看一下ICMP redirect的东西吧

引用:

原帖由 iwanthome 于 2006-11-27 16:28 发表
你同事的网关配置为0.4，实际的路由是0.1，所以会提示这些。

看一下ICMP redirect的东西吧

我去看看先!

[ 本帖最后由 guohaili 于 2006-11-27 17:07 编辑 ]

因为我在交换的网络中,我最初的想法内网的网速很慢,我本想SNIFFER一下我同事的电脑的PC,而他的PC的GATEWAY是192.168.0.1 ,我使用arpspoof对他进行ARP欺骗,告诉他的PC网关的MAC是我的电脑(192.168.0.4)的MAC. 就是他上网的数据包都是通过的我的装有SNIFFFER的电脑上网的
我又看了下 ICMP 重定向的概念:
ICMP Redirect的概念
ICMP Redirect消息总是从网关发往主机的，下面会举一个例子来说明。
简单地说，ICMP Redirect消息发生在以下情况：一台主机向远程网络发送了一个数据包，由于目的地址是在远程网络中，所以这个数据包会被发往主机上设置的默认网关（网关1）的地址。默认网关会接着将这个数据包发往下一个网关（网关2）。如果网关2发现源地址（主机）和自己的网络接口在同样的子网中，它就会向主机发送一个ICMP Redirect消息，要求主机将网关改为自己的地址。

那么在我的情况中,谁是网关1,谁是网关2呢?

[ 本帖最后由 guohaili 于 2006-11-27 17:27 编辑 ]

0.4收到信息，转发了，但是0.4知道正确的路由应该是0.1，所以0.4会发出ICMP redirect的信息，其实这应该是arpspoof的副作用吧

哦,谢谢 各位指教.

这sniffer汉化得，呵呵

分析得不错，学习......

那个arpspoof不懂，可以教教吗？