Wireshark berjalan di server melihat banyak `ARP yang memiliki` dengan memberitahu yang berbeda

Kami melihat beberapa aktivitas jaringan yang mencurigakan, dan ketika saya mencoba untuk melihat apakah itu adalah salah satu server kami, saya menjalankan jejak Wireshark. Saya mencatat banyak paket ARP yang bertanya who has x.x.x.x, tetapi semua diperintahkan untuk memberi tahu alamat yang berbeda. Di masa lalu saya hanya melihat "kirim" menjadi satu host - misalnya server DHCP.

Seperti yang dapat Anda lihat dari tangkapan layar, hanya ada beberapa IP yang diminta, tetapi sistem untuk membedakan sangat banyak. Ini seperti semua perangkat di jaringan berusaha mencari tahu siapa 10.10.0.40(dan beberapa lainnya).

Ini normal, terutama jika apa pun di 10.10.0.40 dimatikan atau diputus. Misalnya, jika 10.10.0.40 adalah server DNS dan semua orang dikonfigurasikan untuk menggunakannya sebagai server DNS utama mereka, maka Anda akan mendapatkan banyak mesin yang menanyakan alamat itu. Tetapi karena tidak aktif, mereka akan banyak bertanya dan tidak mendapat jawaban.

Itu tidak terlihat biasa bagi saya, dengan anggapan bahwa alamat 10.10.0.40 Anda adalah milik sever / printer / sumber daya bersama lainnya dan pengguna Anda berada di subnet & saklar yang sama.

Seperti yang disarankan oleh Tim Brigham, ini tidak biasa. Perangkat melakukan permintaan ARP untuk mendapatkan alamat MAC (alamat layer 2) untuk alamat 10.10.0.40. Dengan memiliki alamat MAC, host akan dapat terhubung secara langsung, tanpa harus memasukkan hop Layer3.

Sebagai contoh, jika semua host berada di subnet yang sama dan switch yang sama, mesin dapat terhubung ke 10.10.0.40 tanpa pergi ke router terlebih dahulu (yang diperlukan untuk koneksi di jaringan yang berbeda).