Si utiliza conmutadores administrados, puede iniciar sesión en sus conmutadores y consultar su tabla de reenvío para ver en qué puerto del conmutador está registrada esta dirección mac. A continuación, puede seguir el rastro hasta su fuente.
La forma de ver la tabla de reenvío depende del fabricante de su (s) interruptor (es). Si su conmutador tiene una interfaz de línea de comandos y está familiarizado con el terminal, intente "mostrar la dirección MAC" (sé que funciona tanto en mi conmutador HP como en mi conmutador Brocade). Si no, mira la GUI web.
Si su conmutador no está administrado, o si no tiene acceso a él, tal vez podría encontrar a quién enviar mediante la captura de estos paquetes de arping en varios lugares de su red: intente rastrear la red usando wireshark o tcpdump en una VM sospechosa, o en la interfaz de red física de su ESXi ...
mis 2 centavos :)
Lea otras preguntas en las etiquetas arp-spoofing