Wireshark, работающий на сервере, видит много ARP с разными жестами
Мы наблюдаем некоторую подозрительную сетевую активность, и когда я пытался выяснить, был ли это один из наших серверов, я запустил трассировку Wireshark. Я отметил много пакетов ARP, запрашивающих who has x.x.x.x, но все говорят по разным адресам. Раньше я видел, что "говорят" только об одном хосте - например, о DHCP-сервере.
Как вы можете видеть на скриншоте, запрашивается лишь несколько IP-адресов, но система, которая должна их сообщить, сильно различается. Как будто все устройства в сети пытаются выяснить, кто 10.10.0.40 (и пара других) есть.
Это нормально, особенно если что-то по адресу 10.10.0.40 выключено или отключено. Например, если 10.10.0.40 является DNS-сервером, и все настроены на его использование в качестве основного DNS-сервера, тогда вы получите множество машин, запрашивающих этот адрес. Но поскольку его нет, они будут много спрашивать и не получат ответа.
Для меня это не выглядит необычным, если предположить, что ваш адрес 10.10.0.40 принадлежит серверу / принтеру / другому общему ресурсу, а ваши пользователи находятся в той же подсети и коммутаторе.
Как предположил Тим Бригам, в этом нет ничего необычного. Устройства выполняют запросы ARP, чтобы получить MAC-адрес (адрес уровня 2) для адреса 10.10.0.40. Имея MAC-адрес, хосты смогут подключаться к нему напрямую, без необходимости включать переход уровня 3.
Например, если все хосты находятся в одной подсети и одном коммутаторе, машины могут подключаться к 10.10.0.40 без предварительного подключения к маршрутизатору (что необходимо для подключений в другой сети).