Estamos vendo alguma atividade de rede suspeita e, quando eu estava tentando ver se era um servidor específico, executei um rastreamento do Wireshark. Eu notei muitos pacotes ARP perguntando who has x.x.x.x, mas todos foram instruídos a dizer endereços diferentes. No passado, vi apenas o "tell" como um único host - por exemplo, um servidor DHCP.
Como você pode ver na captura de tela, existem apenas alguns IP sendo solicitados, mas o sistema a ser informado varia muito. É como se todos os dispositivos da rede estivessem tentando descobrir quem 10.10.0.40(e alguns outros) é.
networking
wireshark
arp
Cilíndrico
fonte
fonte
00:0d:b9:24:78:f5), não há nada de particularmente útil que você possa fazer com ele.Respostas:
Isso é normal, especialmente se o item 10.10.0.40 estiver desativado ou desconectado. Por exemplo, se 10.10.0.40 for um servidor DNS e todos estiverem configurados para usá-lo como seu servidor DNS primário, você receberá muitas máquinas solicitando esse endereço. Mas como não está ligado, eles pedirão muito e não receberão resposta.
fonte
Isso não me parece fora do comum, supondo que seu endereço 10.10.0.40 pertença a um servidor / impressora / outro recurso compartilhado e que seus usuários estejam na mesma sub-rede e switch.
fonte
Como sugerido por Tim Brigham, isso não é incomum. Os dispositivos estão fazendo solicitações de ARP para obter o endereço MAC (endereço da camada 2) para o endereço 10.10.0.40. Por ter o endereço MAC, os hosts poderão se conectar diretamente a ele, sem precisar incluir um salto na Camada3.
Por exemplo, se todos os hosts estiverem na mesma sub-rede e no mesmo comutador, as máquinas poderão conectar-se ao 10.10.0.40 sem acessar o roteador primeiro (o que é necessário para conexões em uma rede diferente).
fonte