Wiresharkがサーバー上で実行されており、さまざまなテルを持つ「ARP whos」が多数表示されている

疑わしいネットワークアクティビティがいくつかあり、それが私たちの特定のサーバーであるかどうかを確認しようとしたときに、Wiresharkトレースを実行しました。多くのARPパケットが要求していることに気付きましたwho has x.x.x.xが、すべて異なるアドレスを指示するように言われました。過去には、DHCPサーバーなどの単一のホストであると「見せる」だけを見てきました。

スクリーンショットからわかるように、要求されるIPはごくわずかですが、通知するシステムはさまざまです。それは、ネットワーク上のすべてのデバイスがだれか10.10.0.40（および他のカップル）が誰であるかを調べようとしているようなものです。

これは正常です。特に、10.10.0.40のいずれかがオフになっているか切断されている場合は特にそうです。たとえば、10.10.0.40がDNSサーバーであり、誰もがそれをプライマリDNSサーバーとして使用するように構成されている場合、そのアドレスを要求する多数のマシンが表示されます。しかし、それがオンになっていないので、彼らは多くを尋ね、何の応答も得ません。

10.10.0.40アドレスがサーバー/プリンター/その他の共有リソースに属し、ユーザーが同じサブネットとスイッチ上にあると想定すると、それは私には普通のことのように見えます。

ティム・ブリガムが示唆したように、これは異常ではありません。デバイスは、10.10.0.40アドレスのMACアドレス（レイヤー2アドレス）を取得するためにARP要求を実行しています。MACアドレスを持つことで、ホストはLayer3ホップを含めることなく、直接それに接続できます。

たとえば、すべてのホストが同じサブネットと同じスイッチ上にある場合、マシンは最初にルーターに移動せずに10.10.0.40に接続できます（これは別のネットワークでの接続に必要です）。