O Wireshark rodando em um servidor vendo muitos `ARP que possuem` com diferentes informações

8

Estamos vendo alguma atividade de rede suspeita e, quando eu estava tentando ver se era um servidor específico, executei um rastreamento do Wireshark. Eu notei muitos pacotes ARP perguntando who has x.x.x.x, mas todos foram instruídos a dizer endereços diferentes. No passado, vi apenas o "tell" como um único host - por exemplo, um servidor DHCP.

Como você pode ver na captura de tela, existem apenas alguns IP sendo solicitados, mas o sistema a ser informado varia muito. É como se todos os dispositivos da rede estivessem tentando descobrir quem 10.10.0.40(e alguns outros) é.

insira a descrição da imagem aqui

networking  wireshark  arp 
Cilíndrico
fonte
Então, o que há em 10.10.0.40?
Michael Hampton
Distribuir uma lista de endereços MAC das máquinas das pessoas sem pedir permissão é um crime em alguns países. E não é uma boa ideia de qualquer maneira.
BatchyX
5
@BatchyX, citação necessária. Se isso é crime, é estúpido. Na maior parte, os endereços mac não saem da rede local. Se eu lhe der meu endereço MAC ( 00:0d:b9:24:78:f5), não há nada de particularmente útil que você possa fazer com ele.
precisa
2
@ Zoredache Engraçado, esse era o meu MAC também, mas depois mudei de volta.
Captain Giraffe
1
Sorte do sorteio aleatório. É pura coincidência que eles pareçam MACs reais. Não importa de qualquer maneira, não estou em um território onde isso importe.
perfil

Respostas:

8

Isso é normal, especialmente se o item 10.10.0.40 estiver desativado ou desconectado. Por exemplo, se 10.10.0.40 for um servidor DNS e todos estiverem configurados para usá-lo como seu servidor DNS primário, você receberá muitas máquinas solicitando esse endereço. Mas como não está ligado, eles pedirão muito e não receberão resposta.

pescoço longo
fonte
Definitivamente, o caso, pois alguns endereços MAC fazem mais de uma consulta.
BatchyX
3
Acabei de verificar e .40 pertence a uma impressora que não está aqui desde antes de começar. Acho que as máquinas de todos ainda têm essa impressora mapeada e o Windows está constantemente tentando encontrá-la.
precisa
4

Isso não me parece fora do comum, supondo que seu endereço 10.10.0.40 pertença a um servidor / impressora / outro recurso compartilhado e que seus usuários estejam na mesma sub-rede e switch.

Tim Brigham
fonte
1

Como sugerido por Tim Brigham, isso não é incomum. Os dispositivos estão fazendo solicitações de ARP para obter o endereço MAC (endereço da camada 2) para o endereço 10.10.0.40. Por ter o endereço MAC, os hosts poderão se conectar diretamente a ele, sem precisar incluir um salto na Camada3.

Por exemplo, se todos os hosts estiverem na mesma sub-rede e no mesmo comutador, as máquinas poderão conectar-se ao 10.10.0.40 sem acessar o roteador primeiro (o que é necessário para conexões em uma rede diferente).

emynd
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.