Такая ситуация, в сети часто бывает так шо какойта узел (скорее всего шлюз) отправляет arp ответы на броадкаст адрес с произвольным айпи адресом. Например: мак отправителя 01:80:c2:00:00:01 адрес получателя ff:ff:ff:ff:ff:ff айпи отправителя/получателя случайные и в арп заголовках сообщает что мак адрес такогото узла (произвольный айпи) соответствует маку 01:80:c2:00:00:01 Поидее это Flow Control сетевых устройств, так устройство оповещают соседние о том что в даный момент не может принять пакет и просит приостановить передачу, но помойму здесь не это. Вариант 2. Немного похоже на арп спуфинг но пакеты скорее всего рассылает шлюз который пренадлежит провайдеру поэтому врядлиб им это понадабилось, т.к. еслиб они хатели проснифть трафик ониб сделали это прямо на шлюзе без спуфинга. Варинт 3. Таким образом они пытаються выловить пасажиров которые занимаюца спуфингом, ведь поидее если будет атака на узел с мак адресом мультикаста то такие пакеты будут рассылаца всем узлам сети и будут обнаруживаца арп вотчем. Кто нить сталкивался с таким ?
