9/26あたりからVPSでこんなログが出るようになりました。
Nov 7 18:45:52 vps kernel: arp: 49.212.6.1 moved from 00:00:5e:00:01:6b to 00:1b:ed:b3:d4:c1 on em0 Nov 7 18:45:52 vps kernel: arp: 49.212.6.1 moved from 00:1b:ed:b3:d4:c1 to 00:00:5e:00:01:6b on em0
49.212.6.1はデフォルトゲートウェイです。これのMACは普段はVRRPの仮想MACの00:00:5e:00:01:6bなんですが、一瞬00:1b:ed:b3:d4:c1になっています。気になったのでパケットを眺めてみたのですが、問題のタイミングでソースが49.212.6.1/00:1b:ed:b3:d4:c1のARPリクエストが飛んできていました。
ARPリクエストがやたらに多く、おそらく全ホストに対し1分毎にARPリクエストを投げているようです。ARPテーブルのTTLが1分というのはさすがに短いのではないでしょうか。
そういえばさくらインターネットでは以前ARPスプーフィングの被害がありましたがその関係ですかね?