Tutti i client nella mia rete wireless inviano richieste di arp continue a a
host che non esiste (ho verificato la sua assenza con nmap -PN [IP] ).
I client usano windows 7 e windows xp (qui le richieste vengono inviate con meno frequenza). Cosa significa?
Penso che questo comportamento sia il motivo della mia congestione della rete ... ma cosa posso essere sicuro ?! C'è un modo per verificare quale processo inviare la richiesta arp?
Non esiste un processo (normale) che possa causare l'ARP - un processo potrebbe richiedere una connessione a un indirizzo IP, ma poi è compito dello stack di rete capire come ottenerlo a un altro computer, e questo è quando accade ARP.
La cosa migliore da fare è capire da dove è collegata la macchina, dal punto di vista dello switchport, dal tuo switch. Tramite l'interfaccia dello switch o tramite SNMP tramite la tabella net-to-media IP. Quindi puoi inseguire il filo e trovare la bestia.
Dato che è solo Windows, potresti avere un server WINS che è stato scelto come master, o qualcosa del genere, ma è puramente una pugnalata al buio.
Hai un problema epico con DHCP, una specie di attacco ARP Cache Poisoning / MiTM o qualcuno che crea un access point canaglia . Non conosco alcuno strumento che mostri quale processo sta inviando richieste ARP, ma forse puoi provare qualcosa come dtrace per vedere le chiamate di sistema.
Leggi altre domande sui tag network arp-spoofing