Обнаружено, что мошеннический сервер отвечает на все запросы ARP, эффективно блокируя присоединение новых хостов к широковещательному домену (192.168 / 16) своего интерфейса Ethernet. Позже было обнаружено, что рассматриваемый сервер был гостевым vmware (CentOS) с интерфейсом обратной связи (lo), неверно настроенным как IP-адрес 192.168 / 16.
Что произошло, когда эта неправильная конфигурация вступила в силу? Заполняет ли ядро все свои нулевые MAC-адреса некоторым HW-адресам ARP-ответов?