Wireshark läuft auf einem Server und sieht viele ARP, die unterschiedliche Tells haben

Wir sehen verdächtige Netzwerkaktivitäten, und als ich versuchte zu sehen, ob es sich um einen bestimmten Server von uns handelt, habe ich einen Wireshark-Trace ausgeführt. Ich habe festgestellt, dass viele ARP-Pakete gefragt wurden who has x.x.x.x, aber allen wurde gesagt, dass sie unterschiedliche Adressen angeben sollen. In der Vergangenheit habe ich nur gesehen, dass das "Tell" ein einzelner Host ist - zum Beispiel ein DHCP-Server.

Wie Sie auf dem Screenshot sehen können, werden nur wenige IP-Adressen angefordert, aber das zu erkennende System ist sehr unterschiedlich. Es ist, als ob alle Geräte im Netzwerk versuchen herauszufinden, wer 10.10.0.40(und einige andere) sind.

Dies ist normal, insbesondere wenn am 10.10.0.40 alles ausgeschaltet oder getrennt ist. Wenn beispielsweise 10.10.0.40 ein DNS-Server ist und jeder so konfiguriert ist, dass er ihn als primären DNS-Server verwendet, werden viele Computer nach dieser Adresse fragen. Aber da es nicht eingeschaltet ist, werden sie viel fragen und keine Antwort erhalten.

Das sieht für mich nicht ungewöhnlich aus, vorausgesetzt, Ihre 10.10.0.40-Adresse gehört zu einem Server / Drucker / einer anderen gemeinsam genutzten Ressource und Ihre Benutzer befinden sich im selben Subnetz und Switch.

Wie von Tim Brigham vorgeschlagen, ist dies nicht ungewöhnlich. Die Geräte führen ARP-Anforderungen aus, um die MAC-Adresse (Layer 2-Adresse) für die 10.10.0.40-Adresse abzurufen. Durch die MAC-Adresse können die Hosts eine direkte Verbindung herstellen, ohne einen Layer3-Hop einschließen zu müssen.

Wenn sich beispielsweise alle Hosts im selben Subnetz und auf demselben Switch befinden, können die Computer eine Verbindung zu 10.10.0.40 herstellen, ohne zuvor einen Router aufzusuchen (was für Verbindungen in einem anderen Netzwerk erforderlich ist).