Wireshark fonctionnant sur un serveur voyant beaucoup de `ARP qui a` avec différents tell


8

Nous voyons une activité réseau suspecte, et lorsque j'essayais de voir s'il s'agissait d'un de nos serveurs en particulier, j'ai exécuté une trace Wireshark. J'ai remarqué que beaucoup de paquets ARP demandaient who has x.x.x.x, mais on me disait tous de dire des adresses différentes. Dans le passé, je n'ai vu que le "tell" comme un seul hôte - par exemple un serveur DHCP.

Comme vous pouvez le voir sur la capture d'écran, il n'y a que quelques IP demandées, mais le système à dire varie beaucoup. C'est comme si tous les appareils du réseau essayaient de savoir qui 10.10.0.40(et quelques autres) était.

entrez la description de l'image ici


Alors, quel est le 10.10.0.40?
Michael Hampton

Donner une liste d'adresses MAC des machines des gens sans demander leur permission est un crime dans certains pays. Et ce n'est pas une bonne idée de toute façon.
BatchyX

5
@BatchyX, citation nécessaire. Si c'est un crime, c'est stupide. Pour la plupart, les adresses mac ne quittent pas le réseau local. Si je vous donne mon adresse mac ( 00:0d:b9:24:78:f5), il n'y a rien de particulièrement utile que vous puissiez faire avec.
Zoredache

2
@Zoredache Drôle, c'était aussi mon MAC, mais je l'ai changé en arrière.
Captain Giraffe

1
Chance du tirage au sort. Une pure coïncidence qu'ils ressemblent à de vrais MAC. Peu importe de toute façon, je ne suis pas dans un territoire où cela compte.
Cylindrique

Réponses:


8

C'est normal, surtout si quoi que ce soit à 10.10.0.40 est éteint ou déconnecté. Par exemple, si 10.10.0.40 est un serveur DNS et que tout le monde est configuré pour l'utiliser comme serveur DNS principal, vous obtiendrez de nombreuses machines demandant cette adresse. Mais comme ce n'est pas le cas, ils demanderont beaucoup et n'obtiendront aucune réponse.


C'est certainement le cas, car certaines adresses MAC font plus d'une requête.
BatchyX

3
Je viens de vérifier, et .40 appartient à une imprimante qui n'était pas là depuis avant que je commence. Je suppose que les machines de tout le monde ont toujours cette imprimante mappée, et Windows essaie constamment de la trouver.
Cylindrique

4

Cela ne me semble pas inhabituel, en supposant que votre adresse 10.10.0.40 appartient à un serveur / imprimante / autre ressource partagée et que vos utilisateurs sont sur le même sous-réseau et commutateur.


1

Comme l'a suggéré Tim Brigham, cela ne sort pas de l'ordinaire. Les appareils effectuent des requêtes ARP pour obtenir l'adresse MAC (adresse de couche 2) pour l'adresse 10.10.0.40. En ayant l'adresse MAC, les hôtes pourront s'y connecter directement, sans avoir à inclure un saut Layer3.

Par exemple, si tous les hôtes se trouvent sur le même sous-réseau et le même commutateur, les machines peuvent se connecter à 10.10.0.40 sans passer d'abord par un routeur (ce qui est nécessaire pour les connexions sur un réseau différent).

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.