在服务器上运行的Wireshark看到许多具有不同告诉的“ ARP谁拥有”

我们看到了一些可疑的网络活动，当我尝试查看它是否是我们服务器中的一台特定服务器时，我运行了Wireshark跟踪。我注意到有很多 ARP数据包在询问who has x.x.x.x，但都被告知告诉不同的地址。在过去，我只看到“ tell”是单个主机-例如DHCP服务器。

从屏幕截图中可以看到，仅要求提供几个IP，但是要告知的系统却相差很大。就像网络上的所有设备都在试图找出谁10.10.0.40（以及其他几个）一样。

这是正常现象，尤其是在10.10.0.40处关闭或断开连接的情况下。例如，如果10.10.0.40是DNS服务器，并且每个人都配置为将其用作其主要DNS服务器，那么您将得到很多机器询问该地址。但是由于尚未开启，他们会提出很多要求，但没有得到回应。

假设您的10.10.0.40地址属于服务器/打印机/其他共享资源，并且您的用户位于同一子网和交换机上，那对我来说并不奇怪。

正如蒂姆·布里格姆（Tim Brigham）所建议的那样，这与众不同。设备正在执行ARP请求以获取10.10.0.40地址的MAC地址（第2层地址）。通过拥有MAC地址，主机将能够直接连接到它，而不必包括第3层跃点。

例如，如果所有主机都在相同的子网和同一台交换机上，则这些计算机可以连接到10.10.0.40，而无需先连接到路由器（这对于连接不同网络是必需的）。