在服务器上运行的 Wireshark 看到大量“ARP 谁有”有不同的说法

在服务器上运行的 Wireshark 看到大量“ARP 谁有”有不同的说法

我们发现了一些可疑的网络活动,当我试图查看这是否是我们的一个特定服务器时,我运行了 Wireshark 跟踪。我注意到很多ARP 数据包询问who has x.x.x.x,但都被告知要告诉不同的地址。过去我只看到“告诉”是单个主机 - 例如 DHCP 服务器。

从屏幕截图中可以看出,请求的 IP 很少,但系统给出的答案却大相径庭。就好像网络上的所有设备都在试图找出谁10.10.0.40(以及其他几个)是谁。

在此处输入图片描述

答案1

这是正常的,尤其是当 10.10.0.40 上的任何内容被关闭或断开连接时。例如,如果 10.10.0.40 是 DNS 服务器,并且每个人都将其配置为使用其作为主 DNS 服务器,那么您将收到很多请求该地址的机器。但由于它没有打开,它们会发出很多请求,却得不到任何响应。

答案2

假设您的 10.10.0.40 地址属于服务器/打印机/其他共享资源并且您的用户位于同一个子网和交换机上,那么这对我来说看起来并不奇怪。

答案3

正如 Tim Brigham 所言,这并不奇怪。设备正在执行 ARP 请求以获取 10.10.0.40 地址的 MAC 地址(第 2 层地址)。有了 MAC 地址,主机将能够直接连接到它,而无需包含第 3 层跳转。

例如,如果所有主机都在同一个子网和同一个交换机上,则机器可以连接到 10.10.0.40,而无需先到路由器(这对于不同网络上的连接是必要的)。

相关内容