Todos los clientes en mi red inalámbrica envían continuamente solicitudes de arp a un
host que no existe (he comprobado su ausencia con nmap -PN [IP] ).
Los clientes usan Windows 7 y Windows XP (aquí las solicitudes se envían con menos frecuencia). ¿Qué significa?
Creo que este comportamiento es la causa de la congestión de mi red ... ¡¿pero puedo estar seguro ?! ¿Hay alguna forma de verificar qué proceso envía la solicitud de arp?
No hay un proceso (normal) que pueda hacer que se produzca ARP; un proceso puede requerir una conexión a una dirección IP, pero el trabajo de la pila de red es averiguar cómo llevarlo a otra máquina, y eso es cuando sucede ARP.
Su mejor apuesta es averiguar dónde está conectada la máquina, desde el puerto de conmutación, desde su interruptor. Ya sea a través de la interfaz del conmutador o mediante SNMP a través de la tabla de red IP a medios. Luego puedes perseguir el alambre y encontrar a la bestia.
Ya que solo es Windows, es posible que tengas un servidor WINS que haya sido elegido maestro, o algo así, pero eso es puramente una puñalada en la oscuridad.
Tienes un problema épico con DHCP, algún tipo de ataque ARP Cache Poisoning / MiTM, o alguien que está configurando un punto de acceso no autorizado . No conozco ninguna herramienta que muestre qué proceso está enviando solicitudes de ARP, pero quizás pueda probar algo como dtrace para ver las llamadas del sistema.
Lea otras preguntas en las etiquetas network arp-spoofing