Wireshark fonctionnant sur un serveur voyant beaucoup de `ARP qui a` avec différents tell

Nous voyons une activité réseau suspecte, et lorsque j'essayais de voir s'il s'agissait d'un de nos serveurs en particulier, j'ai exécuté une trace Wireshark. J'ai remarqué que beaucoup de paquets ARP demandaient who has x.x.x.x, mais on me disait tous de dire des adresses différentes. Dans le passé, je n'ai vu que le "tell" comme un seul hôte - par exemple un serveur DHCP.

Comme vous pouvez le voir sur la capture d'écran, il n'y a que quelques IP demandées, mais le système à dire varie beaucoup. C'est comme si tous les appareils du réseau essayaient de savoir qui 10.10.0.40(et quelques autres) était.

C'est normal, surtout si quoi que ce soit à 10.10.0.40 est éteint ou déconnecté. Par exemple, si 10.10.0.40 est un serveur DNS et que tout le monde est configuré pour l'utiliser comme serveur DNS principal, vous obtiendrez de nombreuses machines demandant cette adresse. Mais comme ce n'est pas le cas, ils demanderont beaucoup et n'obtiendront aucune réponse.

Cela ne me semble pas inhabituel, en supposant que votre adresse 10.10.0.40 appartient à un serveur / imprimante / autre ressource partagée et que vos utilisateurs sont sur le même sous-réseau et commutateur.

Comme l'a suggéré Tim Brigham, cela ne sort pas de l'ordinaire. Les appareils effectuent des requêtes ARP pour obtenir l'adresse MAC (adresse de couche 2) pour l'adresse 10.10.0.40. En ayant l'adresse MAC, les hôtes pourront s'y connecter directement, sans avoir à inclure un saut Layer3.

Par exemple, si tous les hôtes se trouvent sur le même sous-réseau et le même commutateur, les machines peuvent se connecter à 10.10.0.40 sans passer d'abord par un routeur (ce qui est nécessaire pour les connexions sur un réseau différent).