Мой сервер Windows 2008 начал сеанс TCP, разговаривая с одним Mac-адресом назначения, но в середине сеанса TCP начал отправлять пакеты на другой MAC-адрес назначения, а затем в конечном итоге переключился обратно. Любые мысли / идеи о том, что могло вызвать это? И отправляющий сервер, и целевой хост находятся в одной подсети. Проблема, кажется, решена, когда я устанавливаю статические записи ARP для IP на сервере.
Это могло быть Подмена ARP за которым следует Человек в центре атаки в вашей локальной сети.
В этом сценарии злоумышленник отправит поддельные ответы ARP как на ваш сервер, так и на хост назначения, отравляя таблицы ARP машин и вынуждая их отправлять весь свой трафик через хост по выбору злоумышленника в сегменте локальной сети. Если на этом хосте была включена IP-переадресация (или мост через Ethernet), после того, как это было выполнено с перехватом, записью или изменением, он направил бы IP-трафик в его конечный пункт назначения без какой-либо потери связи или чего-либо еще.
После завершения атаки злоумышленник будет отправлять ARP-ответы с «законными» / начальными MAC-адресами на задействованные машины, восстанавливая записи таблицы ARP, как будто ничего не произошло.