Wireshark è in esecuzione su un server che vede un sacco di `ARP che ha` con diversi tell

Stiamo assistendo ad attività di rete sospette e quando stavo cercando di vedere se fosse un nostro server in particolare, ho eseguito una traccia di Wireshark. Ho notato che molti pacchetti ARP chiedevano who has x.x.x.x, ma a tutti veniva detto di dire indirizzi diversi. In passato ho visto solo il "dire" di essere un singolo host, ad esempio un server DHCP.

Come puoi vedere dallo screenshot, ci sono solo pochi IP richiesti, ma il sistema da dire varia molto. È come se tutti i dispositivi della rete stessero cercando di scoprire chi 10.10.0.40(e un paio di altri) è.

Ciò è normale, soprattutto se qualsiasi cosa in 10.10.0.40 è disattivata o disconnessa. Ad esempio, se 10.10.0.40 è un server DNS e tutti sono configurati per usarlo come proprio server DNS primario, si otterranno molte macchine che richiedono tale indirizzo. Ma poiché non è attivo, chiederanno molto e non riceveranno risposta.

Questo non mi sembra fuori dal comune, supponendo che il tuo indirizzo 10.10.0.40 appartenga a un server / stampante / altra risorsa condivisa e che i tuoi utenti siano sulla stessa sottorete e switch.

Come suggerito da Tim Brigham, questo non è fuori dall'ordinario. I dispositivi stanno facendo richieste ARP per ottenere l'indirizzo MAC (indirizzo di livello 2) per l'indirizzo 10.10.0.40. Avendo l'indirizzo MAC, gli host saranno in grado di connettersi direttamente ad esso, senza dover includere un hop Layer3.

Ad esempio, se tutti gli host si trovano sulla stessa sottorete e stesso switch, le macchine possono connettersi a 10.10.0.40 senza andare prima a un router (necessario per le connessioni su una rete diversa).