Wireshark работает на сервере, видя множество ARP с разными

Мы наблюдаем некоторую подозрительную сетевую активность, и когда я пытался определить, был ли это один из наших серверов, я запустил трассировку Wireshark. Я заметил много запросов ARP-пакетов who has x.x.x.x, но все они говорили по разным адресам. В прошлом я видел только «сказать», чтобы быть одним хостом - например, DHCP-сервером.

Как вы можете видеть на скриншоте, запрашивается только несколько IP-адресов, но система, которую можно узнать, сильно различается. Как будто все устройства в сети пытаются выяснить, кто 10.10.0.40(и пара других).

Это нормально, особенно если что-либо в 10.10.0.40 выключено или отключено. Например, если 10.10.0.40 является DNS-сервером, и каждый настроен на его использование в качестве основного DNS-сервера, вы получите множество компьютеров, запрашивающих этот адрес. Но так как он не включен, они будут много спрашивать и не получат ответа.

Для меня это не выглядит необычно, если предположить, что ваш адрес 10.10.0.40 принадлежит серверу / принтеру / другому общему ресурсу, а ваши пользователи находятся в одной подсети и коммутаторе.

Как предполагает Тим ​​Бригам, это не необычно. Устройства выполняют запросы ARP, чтобы получить MAC-адрес (адрес уровня 2) для адреса 10.10.0.40. Имея MAC-адрес, хосты смогут подключаться к нему напрямую, без необходимости включать переход уровня 3.

Например, если все хосты находятся в одной подсети и на одном коммутаторе, машины могут подключаться к 10.10.0.40 без предварительного подключения к маршрутизатору (что необходимо для соединений в другой сети).