Не должен быть участником вечеринки, но размер подсети не зависит от количества ARP-передач в секунду. Тот факт, что подсеть достаточно велика для x количества хостов, не означает, что хост будет ARP для x количества IP-адресов в этой подсети. Хост отправляет пакет ARP, когда ему нужно отправить пакет другому хосту. Единственный раз, когда хост выполняет ARP для x количества ip-адресов в своей подсети (или большого числа ip-адресов в своей подсети), это если он сканирует диапазон ip-адресов для своей подсети (используя программу сканирования IP), он заражен вредоносное ПО или имеет неисправный драйвер NIC или NIC. Никогда другой узел обычно не отправляет большое количество пакетов ARP, как то, что вы видите. Кроме того, хост не будет отправлять пакет ARP для IP-адреса, который не находится в его локальной подсети, поскольку он знает, что IP-адрес не является локальным и что ему необходимо отправить его на свой шлюз по умолчанию, и поэтому не будет отправлять пакет ARP для этот IP-адрес.
У вас есть 5 хостов, отправляющих пакеты ARP в сети:
10.212.0.1 - Это кажется нормальным Это шлюз по умолчанию, и на вашем снимке экрана только один пакет ARP. Шлюз по умолчанию отправляет пакеты ARP в сеть, когда ему необходимо передать трафик на внутренний хост, а MAC-адрес этого хоста не находится в его кэше ARP (как любое другое сетевое устройство).
24.170.135.1 - Я этого не понимаю. Это нелокальный IP-адрес. Откуда это? У вас есть несколько сетей, соединенных вместе? У любого из компьютеров есть несколько сетевых адаптеров, подключенных к нескольким сетям, или несколько подключений, например, VPN-подключение и т.д.
24.233.137.1 - Опять же, это нелокальный IP-адрес.
70.119.248.1 - Это, вероятно, нормально, хотя IP-адреса, для которых он ARP, кажутся немного неуместными. Они находятся в одной подсети, но далеко от той, которую я бы назвал обычной схемой IP-адресации.
70.119.176.1 - Это тот, который беспокоит меня, так как он посылает большую часть пакетов ARP. Я подозреваю, что он либо выполняет сканирование подсети для всех IP-адресов в подсети, либо заражен вредоносным ПО, либо имеет плохой драйвер NIC или NIC.
Потоки ARP (с чем, я полагаю, вы имеете дело) не являются нормальным состоянием в сети. ARP-трансляции, превышающие примерно 3-5% всего сетевого трафика, являются очень хорошим показателем того, что что-то не так.
РЕДАКТИРОВАТЬ
Перечитав ваш вопрос с вашими недавними изменениями, у меня другое мнение о том, что происходит: если 70.119.176.1 является шлюзом по умолчанию для сети, и именно он отправляет большую часть ARP-запросов на адреса в подсети, тогда я думаю, что кто-то посторонний для вас выполняет проверку IP-адреса \ порта в вашей сети, и ваш брандмауэр не блокирует его. Для каждого проверяемого IP-адреса ваш шлюз по умолчанию отправляет запрос ARP, чтобы попытаться найти хост по проверяемому IP-адресу. У вашего брандмауэра, маршрутизатора или модема есть журнал, на который вы можете посмотреть?
Я до сих пор не понимаю, откуда приходят адреса 24.xxx.
