Se eles são envenenamento por ARP, então eles têm um endereço MAC que você pode rastrear. Se o albergue usar um switch gerenciável e eles permitirem que você tenha acesso de administrador a ele, você poderá ver em qual porta de switch estava o endereço MAC no momento do ataque e rastreá-lo dessa maneira. Se for um dispositivo sem fio, você pode usar o Wireshark no modo de monitor 802.11 e passear com seu laptop procurando o local onde as transmissões desse endereço MAC são mais strongs.
Se você puder executar um sniffer em uma porta de espelhamento do switch, você poderá ver o tráfego originado da própria máquina (em vez de transmitir a partir de outras máquinas durante os ataques) e possivelmente determinar seu endereço IP ( es), e então procurar por serviços (varreduras de porta) nesses endereços, ou procurar anúncios de protocolo de nomes desses endereços, ou talvez até usar algo como impressão digital do sistema operacional nmap nesses endereços, para tentar reunir mais informações que possam fornecer pistas adicionais .