web-dev-qa-db-ja.com

Wiresharkがサーバー上で実行されており、さまざまなテルを持つ「ARP whos」が多数表示されている

疑わしいネットワークアクティビティがいくつかあり、それが私たちの特定のサーバーの1つであるかどうかを確認しようとしたときに、Wiresharkトレースを実行しました。私はlotを要求するARPパケットをwho has x.x.x.x、しかしすべてが異なるアドレスを伝えるように言われています。過去には、「tell」が単一のホストであることがわかりました。たとえば、DHCPサーバーです。

スクリーンショットからわかるように、要求されているIPはわずかですが、通知するシステムは大きく異なります。これは、ネットワーク上のすべてのデバイスがだれかを見つけようとしているようなものです10.10.0.40(および他のカップル)です。

enter image description here

8
Cylindric

これは正常です。特に、10.10.0.40のいずれかがオフになっているか切断されている場合は特にそうです。たとえば、10.10.0.40がDNSサーバーであり、誰もがそれをプライマリDNSサーバーとして使用するように構成されている場合、そのアドレスを要求する多くのマシンが表示されます。しかし、それがオンになっていないので、彼らは多くを尋ね、何の応答も得ません。

8
longneck

10.10.0.40のアドレスがサーバー/プリンター/その他の共有リソースに属し、ユーザーが同じサブネットとスイッチ上にあると仮定すると、それは私には普通のことのように見えます。

4
Tim Brigham

ティム・ブリガムが示唆したように、これは異常ではありません。デバイスは、10.10.0.40アドレスのMACアドレス(レイヤー2アドレス)を取得するためにARP要求を実行しています。 MACアドレスを持つことにより、ホストはLayer3ホップを含める必要なく、直接それに接続できます。

たとえば、すべてのホストが同じサブネットおよび同じスイッチ上にある場合、マシンは最初にルーターに移動せずに10.10.0.40に接続できます(これは別のネットワークでの接続に必要です)。

1
emynd