刚从用户那里回来。用户是思科的设备，sh arp可以看到很多的IP地址对应的MAC为Incomplete，也就是说网络中根本没有这些IP地址活着（这些网段还是有的），所以解析不到MAC。
问题1：怎么产生的这些ARP解析，如果是几个，还可以解释为用户个别机器关机，但是足足有几百条啊？扫描？
问题2：怎么可以消除对这些IP的ARP请求。如果真是IP地址扫描，怎么可以消除？是否可以把网络扫描重定向到黑洞中去？
谢谢！

一般情况下
扫描或者病毒都有可能导致这种情况的出现

有没有办法可以把网络扫描的流量重定向到某一个不存在的目标，或者黑洞中去？

学习！！！

以前在书上看到过原因的,回家给你翻出来

引用:

该地址的第1个8位字节是01，说明它是一个多播地址。通过进一步研究，发现RFC1812：Requirement for IP Version 4 Router（IPv4的路由器需求）的3.3.2部分中有非常有意思的一句话：如果ARP应答中声称另一台主机或路由器的链路层地址是一个广播或多播地址，路由器是不会相信这个ARP应答。

摘自《TCP/IP Analysis and Troubleshooting Toolkit》(中文《TCP／IP　分析与故障诊断》)　p.68
一个示例研究：不完整的ARP

东学一点，西学一点，现在总觉得什么都不知道了！