Wireshark đang chạy trên một máy chủ nhìn thấy rất nhiều `ARP có 'với những câu nói khác nhau

Chúng tôi đang thấy một số hoạt động mạng đáng ngờ và khi tôi đang cố gắng xem liệu đó có phải là một máy chủ cụ thể của chúng tôi không, tôi đã chạy theo dõi Wireshark. Tôi lưu ý rất nhiều gói ARP yêu cầu who has x.x.x.x, nhưng tất cả đều được yêu cầu nói với các địa chỉ khác nhau. Trước đây tôi chỉ thấy "nói" là một máy chủ duy nhất - ví dụ: máy chủ DHCP.

Như bạn có thể thấy từ ảnh chụp màn hình, chỉ có một vài IP được yêu cầu, nhưng hệ thống để nói thay đổi rất nhiều. Giống như tất cả các thiết bị trên mạng đang cố gắng tìm ra ai 10.10.0.40(và một vài người khác).

Điều này là bình thường, đặc biệt là nếu bất cứ điều gì tại 10.10.0.40 bị tắt hoặc ngắt kết nối. Ví dụ: nếu 10.10.0.40 là máy chủ DNS và mọi người được cấu hình để sử dụng nó làm máy chủ DNS chính của họ thì bạn sẽ nhận được rất nhiều máy yêu cầu địa chỉ đó. Nhưng vì nó không hoạt động, họ sẽ hỏi rất nhiều và không nhận được phản hồi.

Điều đó không có vẻ gì khác thường đối với tôi, giả sử rằng địa chỉ 10.10.0.40 của bạn thuộc về máy chủ / máy in / tài nguyên dùng chung khác và người dùng của bạn ở trên cùng một mạng con & công tắc.

Theo đề xuất của Tim Brigham, điều này không nằm ngoài dự đoán. Các thiết bị đang thực hiện các yêu cầu ARP để lấy địa chỉ MAC (địa chỉ lớp 2) cho địa chỉ 10.10.0.40. Bằng cách có địa chỉ MAC, các máy chủ sẽ có thể kết nối trực tiếp với nó mà không cần phải bao gồm một bước nhảy Layer3.

Ví dụ: nếu tất cả các máy chủ lưu trữ trên cùng một mạng con và cùng một bộ chuyển mạch, các máy có thể kết nối với 10.10.0.40 mà không cần đến bộ định tuyến trước (cần thiết cho các kết nối trên một mạng khác).