Isso é normal, especialmente se o que estiver em 10.10.0.40 estiver desligado ou desconectado. Por exemplo, se 10.10.0.40 for um servidor DNS e todos estiverem configurados para usá-lo como seu servidor DNS primário, você receberá muitas máquinas solicitando esse endereço. Mas como não está ativado, eles pedirão muito e não receberão resposta.
Wireshark rodando em um servidor vendo muitos 'ARP que tem' com diferentes
7
Estamos vendo alguma atividade de rede suspeita, e quando eu estava tentando ver se era um servidor nosso, eu fiz um rastreamento do Wireshark. Eu notei um lote de pacotes ARP perguntando who has x.x.x.x , mas todos disseram para informar endereços diferentes. No passado eu só vi o "tell" para ser um único host - por exemplo, um servidor DHCP.
Como você pode ver na captura de tela, há apenas alguns IPs sendo solicitados, mas o sistema para contar varia muito. É como se todos os dispositivos da rede estivessem tentando descobrir quem é 10.10.0.40 (e alguns outros).
por Cylindric
04.06.2013 / 18:30
3 respostas
4
Isso não parece fora do comum para mim, supondo que o seu endereço 10.10.0.40 pertença a um servidor / impressora / outro recurso compartilhado e que seus usuários estejam na mesma sub-rede & interruptor.
por
04.06.2013 / 18:35
1
Como sugerido por Tim Brigham, isso não é fora do comum. Os dispositivos estão fazendo solicitações ARP para obter o endereço MAC (endereço da camada 2) para o endereço 10.10.0.40. Ao ter o endereço MAC, os hosts poderão se conectar diretamente a ele, sem precisar incluir um salto do Layer3.
Por exemplo, se todos os hosts estiverem na mesma sub-rede e no mesmo switch, as máquinas podem se conectar a 10.10.0.40 sem ir primeiro a um roteador (o que é necessário para conexões em uma rede diferente).
por
04.06.2013 / 18:53
Tags networking wireshark arp