Wireshark läuft auf einem Server und sieht viele ARP, die unterschiedliche Tells haben

8

Wir sehen verdächtige Netzwerkaktivitäten, und als ich versuchte zu sehen, ob es sich um einen bestimmten Server von uns handelt, habe ich einen Wireshark-Trace ausgeführt. Ich habe festgestellt, dass viele ARP-Pakete gefragt wurden who has x.x.x.x, aber allen wurde gesagt, dass sie unterschiedliche Adressen angeben sollen. In der Vergangenheit habe ich nur gesehen, dass das "Tell" ein einzelner Host ist - zum Beispiel ein DHCP-Server.

Wie Sie auf dem Screenshot sehen können, werden nur wenige IP-Adressen angefordert, aber das zu erkennende System ist sehr unterschiedlich. Es ist, als ob alle Geräte im Netzwerk versuchen herauszufinden, wer 10.10.0.40(und einige andere) sind.

Geben Sie hier die Bildbeschreibung ein

Zylindrisch
quelle
Also, was ist um 10.10.0.40?
Michael Hampton
In einigen Ländern ist es eine Straftat, eine Liste der MAC-Adressen der Maschinen von Personen zu verschenken, ohne um deren Erlaubnis zu bitten. Und es ist sowieso keine gute Idee.
BatchyX
5
@BatchyX, Zitat erforderlich. Wenn das ein Verbrechen ist, ist es ein dummes. Zum größten Teil verlassen Mac-Adressen das lokale Netzwerk nicht. Wenn ich Ihnen meine Mac-Adresse ( 00:0d:b9:24:78:f5) gebe, können Sie nichts besonders Nützliches damit anfangen.
Zoredache
2
@Zoredache Witzig, das war auch mein MAC, aber dann habe ich ihn wieder geändert.
Kapitän Giraffe
1
Glück der zufälligen Auslosung. Reiner Zufall, dass sie wie echte MACs aussehen. Egal, ich bin nicht in einem Gebiet, in dem dies wichtig ist.
Cylindric

Antworten:

8

Dies ist normal, insbesondere wenn am 10.10.0.40 alles ausgeschaltet oder getrennt ist. Wenn beispielsweise 10.10.0.40 ein DNS-Server ist und jeder so konfiguriert ist, dass er ihn als primären DNS-Server verwendet, werden viele Computer nach dieser Adresse fragen. Aber da es nicht eingeschaltet ist, werden sie viel fragen und keine Antwort erhalten.

langer Hals
quelle
Dies ist definitiv der Fall, da einige MAC-Adressen mehr als eine Abfrage ausführen.
BatchyX
3
Ich habe gerade nachgesehen, und .40 gehört zu einem Drucker, der seit meinem Start nicht mehr hier war. Ich denke, auf allen Computern ist dieser Drucker noch zugeordnet, und Windows versucht ständig, ihn zu finden.
Cylindric
4

Das sieht für mich nicht ungewöhnlich aus, vorausgesetzt, Ihre 10.10.0.40-Adresse gehört zu einem Server / Drucker / einer anderen gemeinsam genutzten Ressource und Ihre Benutzer befinden sich im selben Subnetz und Switch.

Tim Brigham
quelle
1

Wie von Tim Brigham vorgeschlagen, ist dies nicht ungewöhnlich. Die Geräte führen ARP-Anforderungen aus, um die MAC-Adresse (Layer 2-Adresse) für die 10.10.0.40-Adresse abzurufen. Durch die MAC-Adresse können die Hosts eine direkte Verbindung herstellen, ohne einen Layer3-Hop einschließen zu müssen.

Wenn sich beispielsweise alle Hosts im selben Subnetz und auf demselben Switch befinden, können die Computer eine Verbindung zu 10.10.0.40 herstellen, ohne zuvor einen Router aufzusuchen (was für Verbindungen in einem anderen Netzwerk erforderlich ist).

emynd
quelle