为什么本地网络中的数据包通过网关传送到主机

Question

最近，我在我的防火墙日志上发现，从同一个局域网网络到同一个局域网的丢包数量越来越多.

我已经查了两遍了，网络面具没问题，没有其他路线.

如果我将主机10.0.0.3/24从主机10.0.0.2/24切换到主机10.0.0.2/24，而这台主机存在于网络中，则一切正常，路由器也不知道(数据包从主机A直转到B)，但如果主机B从网络数据包消失到默认网关.

我只在Windows机器上观察到-所有的linuxes都没问题.

有人知道为什么windows会做这种事，从什么时候开始？

编辑

下面是一些fireHOL日志

2月5日20:36:26黑色通行证-未知: IN=lan0.20 OUT=lan0.20 MAC=(.)SRC=10.0.0.2 DST=10.0.0.3 LEN=48 TOS=00 PREC=0x00 TTL=127 ID=14503 DF PROTO =TCP SPT=62931 DPT=3050 SEQ=3210101748 ACK=0 WINDOW=8192 WINDOW=8192 SYN URGP=0 MARK=0

丢弃的数据包不是ICMP -它是TCP SYN数据包-我们的应用程序之一，它试图连接到firebird数据库

Answer 1

我在我的网络上也发现了这个，花了几天时间才找到它，因为我在网络上捕捉到了什么，失去了理智。这是一个名为邻居不可达检测的特性。

本质上，在IP的初始ARP请求之后，如果Windows没有收到ARP回复，它将发送到默认网关，以查看网关是否能够找到设备所在的位置。您可以看到这种行为，当您在子网中ping一个未使用的IP (尚未为ARP‘’ed)时，第一个响应将是无法到达的目的地主机，其余的响应将显示请求超时。

当IPv4和IPv6网络栈组合在Windows中时，这种行为就开始了。

您应该能够使用

netsh interface ipv4 set interface "<Interface Name>" nud=disabled store=persistent

请查看下面的链接，指向邻居无法到达的底部，以获得解释和更多信息。

https://blogs.technet.microsoft.com/networking/2009/04/24/source-ip-address-selection-on-a-multi-homed-windows-computer/