No Linux, existe um timeout de cache arp diferente para hosts inexistentes?
No meu roteador, 192.168.0.1, estou vendo aprox. 8 novas entradas a cada 10 segundos para um IP que ficou inativo por um longo tempo.
Exemplo de saída do tcpdump -n -i eth1 broadcast:
18:54:21.107848 arp who-has 192.168.0.45 tell 192.168.0.1
18:54:21.607919 arp who-has 192.168.0.45 tell 192.168.0.1
18:54:22.107922 arp who-has 192.168.0.45 tell 192.168.0.1
gc_stale_time está definido como 200:
# cat /proc/sys/net/ipv4/neigh/eth1/gc_stale_time
200
E sim, esse ip está na minha tabela arp:
arp -an | grep 192.168.0.45
? (192.168.0.45) at <incomplete> on eth1
Por que continua enviando tantas solicitações a cada 10 segundos?
Este provavelmente não é o seu roteador, que faz as solicitações sozinho. Outro computador deseja entrar em contato com o 192.168.0.45 usando seu roteador. Então o roteador apenas tenta fazer o seu trabalho.
Isso deve ajudá-lo a descobrir qual computador está com defeito:
tcpdump -n -i dst 192.168.0.45
Tags networking arp linux