Wireshark se ejecuta en un servidor y ve un montón de 'ARP que tiene' con diferentes avisos

8

Estamos viendo alguna actividad sospechosa en la red, y cuando estaba tratando de ver si era un servidor en particular, ejecuté un rastro de Wireshark. Noté que muchos paquetes ARP preguntaban who has x.x.x.x, pero todos me decían que dijera diferentes direcciones. En el pasado, solo he visto el "tell" como un único host, por ejemplo, un servidor DHCP.

Como puede ver en la captura de pantalla, solo se solicitan unas pocas IP, pero el sistema para contar varía mucho. Es como si todos los dispositivos en la red estuvieran tratando de descubrir quién es 10.10.0.40(y algunos otros).

ingrese la descripción de la imagen aquí

Cilíndrico
fuente
Entonces, ¿qué hay en 10.10.0.40?
Michael Hampton
Regalar una lista de direcciones MAC de las máquinas de las personas sin pedirles permiso es un delito grave en algunos países. Y no es una buena idea de todos modos.
BatchyX
55
@BatchyX, cita requerida. Si eso es un delito grave, es estúpido. En su mayor parte, las direcciones mac no abandonan la red local. Si le doy mi dirección mac ( 00:0d:b9:24:78:f5), no hay nada particularmente útil que pueda hacer con ella.
Zoredache
2
@Zoredache Divertido, ese también era mi MAC, pero luego lo cambié de nuevo.
Capitán Giraffe
1
Suerte del sorteo al azar. Pura coincidencia de que parezcan MAC reales. De todos modos no importa, no estoy en un territorio donde esto importa.
Cilíndrico

Respuestas:

8

Esto es normal, especialmente si lo que está en 10.10.0.40 está apagado o desconectado. Por ejemplo, si 10.10.0.40 es un servidor DNS y todos están configurados para usarlo como su servidor DNS principal, obtendrá una gran cantidad de máquinas que solicitan esa dirección. Pero como no está encendido, pedirán mucho y no obtendrán respuesta.

cuello largo
fuente
Definitivamente el caso, ya que algunas direcciones MAC hacen más de una consulta.
BatchyX
3
Acabo de comprobar, y .40 pertenece a una impresora que no ha estado aquí desde antes de comenzar. Supongo que las máquinas de todos todavía tienen esa impresora asignada, y Windows está constantemente tratando de encontrarla.
Cilíndrico
4

Para mí, eso no se ve fuera de lo normal, suponiendo que su dirección 10.10.0.40 pertenece a un servidor / impresora / otro recurso compartido y sus usuarios están en la misma subred y conmutador.

Tim Brigham
fuente
1

Como lo sugirió Tim Brigham, esto no está fuera de lo común. Los dispositivos están haciendo solicitudes ARP para obtener la dirección MAC (dirección de capa 2) para la dirección 10.10.0.40. Al tener la dirección MAC, los hosts podrán conectarse directamente a ella, sin tener que incluir un salto Layer3.

Por ejemplo, si todos los hosts están en la misma subred y el mismo conmutador, las máquinas pueden conectarse a 10.10.0.40 sin ir primero a un enrutador (que es necesario para las conexiones en una red diferente).

emynd
fuente