Witam

Testowałem domową sieć przy pomocy arp spoofingu i za bardzo nie potrafię zinterpretować otrzymanych wyników. Jak widać na zdjęciu mój testowany (atakowany) komputer posiada IP 192.168.2.... ma on mac zaczynający się od 0040f4.... i łączy się co widać w tabeli po lewo z kilkoma hostami. Teraz pytanie dlaczego IP z którymi się łączy mają wszystkie to samo mac zaczynające się od 00055D .... ? i dodatkowo w Wiresharku 99% połączeń jest UDP a nie TCP z przechwyconego ruchu. Dodatkowo dodam iż tych połączeń po lewo mogę mieć od 50 aż do 100 z różnymi IP czasami się powtarzają.

Podejrzewam że komputer testowany ściąga w tym momencie coś z sieci P2P, która z kolei zrobiła z jego komputera tymczasową przechowalnię ściąganych przez kogoś innego z jego komputera plików bez jego wiedzy. Bo nawet jeśli ma gg, IE i nie wiem co tam jeszcze odpalone to nie łączy się to poprzez 20-50 różnych IP tylko max do 3-6 . Innego wytłumaczenia nie widzę chyba że się mylę. Proszę o wyjaśnienie mi co jest tu nie tak i jak wyłapać to co ściąga i czy ściąga z P2P.

Pingowałem hosty i okazywało się że są to ich nazwy w stylu chello, adsl.tpsa itp.