다른 정보를 가진 많은 'ARP 보유자'를 보는 서버에서 실행중인 Wireshark

우리는 의심스러운 네트워크 활동을보고 있으며, 그것이 우리의 특정 서버인지 확인하려고 할 때 Wireshark 추적을 실행했습니다. 나는 많은 ARP 패킷이 묻는 것을 언급 who has x.x.x.x했지만 모두 다른 주소를 말하도록 지시 받았다. 과거에는 "tell"이 DHCP 서버와 같은 단일 호스트 인 것을 보았습니다.

스크린 샷에서 볼 수 있듯이 IP는 거의 요구되지 않지만 말할 시스템은 많이 다릅니다. 네트워크의 모든 장치가 누가 10.10.0.40(그리고 다른 몇 사람) 를 찾으려고하는 것과 같습니다 .

이는 특히 10.10.0.40의 항목이 꺼져 있거나 연결이 끊어진 경우에 정상입니다. 예를 들어 10.10.0.40이 DNS 서버이고 모든 사람이 기본 DNS 서버로 사용하도록 구성된 경우 해당 주소를 요구하는 많은 컴퓨터를 얻게됩니다. 그러나 그것이 켜져 있지 않기 때문에 그들은 많은 것을 요구하고 응답을 얻지 못할 것입니다.

10.10.0.40 주소가 서버 / 프린터 / 기타 공유 리소스에 속하고 사용자가 동일한 서브넷 및 스위치에 있다고 가정하면 그것은 평범하지 않습니다.

팀 브리검 (Tim Brigham)이 제안한대로 이것은 평범하지 않습니다. 장치는 10.10.0.40 주소의 MAC 주소 (계층 2 주소)를 얻기 위해 ARP 요청을 수행하고 있습니다. MAC 주소가 있으면 호스트는 Layer3 홉을 포함하지 않고도 호스트에 직접 연결할 수 있습니다.

예를 들어, 모든 호스트가 동일한 서브넷 및 동일한 스위치에있는 경우 머신은 라우터로 먼저 이동하지 않고도 10.10.0.40에 연결할 수 있습니다 (이는 다른 네트워크에서 연결하는 데 필요함).