Dynamiczne wpisy ARP zamieniane w statyczne wpisy ARP

Niedawno pozyskałem klienta, który ma dziwny problem z buforowaniem ARP na jednym z serwerów.

Mam serwer, który w końcu zacznie przekształcać dynamiczne wpisy ARP w statyczne wpisy ARP. Powoduje to problemy, ponieważ gdy komputer, który ma statyczne wpisy ARP na tym serwerze, otrzymuje nowy adres IP przez DHCP, serwer nie jest w stanie komunikować się z klientami. Wyczyszczenie pamięci podręcznej ARP rozwiązuje problem i serwer jest w porządku przez około tydzień, a następnie zaczyna powoli przekształcać wpisy ARP w statyczne wpisy ARP. Nie zawęziłem go do tego, kiedy i ile to zaczyna, ale powoli zaczynasz widzieć 1 statyczny ARP, a następnie 5, a następnie 10.

Wspomniany serwer to Windows Server 2003 SP2. Jest to serwer DC, DHCP i DNS. Sprawdziłem opcje zakresu DHCP i nic tam nie wskazywałoby na statyczne wpisy ARP. Jedyną różnicą między tym serwerem DNS a naszym innym serwerem DNS jest to, że „Dynamicznie aktualizuj rekordy DNA A i PTR dla klientów DHCP, którzy nie żądają aktualizacji”, jest sprawdzane na problematycznym serwerze.

Przeprowadziłem trochę badań na ten temat i wydaje się, że może się tak zdarzyć, jeśli uruchomione są usługi typu PXE, z tego co wiem, nie ma nic uruchomionego na serwerze PXE.

Jestem trochę zagubiony, ponieważ nigdy nie widziałem, aby dynamiczne wpisy ARP zamieniały się w statyczne wpisy ARP. Obecnie moim rozwiązaniem jest zaplanowane zadanie uruchamiane co 24 godziny w celu wyczyszczenia pamięci podręcznej ARP (arp -d *). Chciałbym nie polegać na tym zadaniu harmonogramu.

Czy ktoś widział to wcześniej lub ma jakieś sugestie dotyczące rozwiązania tego problemu?

Może to być łagodne lub złośliwe. Miejmy nadzieję na łagodne: na twoim komputerze działa coś, co myśli, że wie lepiej niż ARP i aktualizuje tabelę ARP „ręcznie”. Podejrzewam, że jest to program typu firewall lub inny rodzaj ochrony punktu końcowego, ale jeśli naprawdę nie możesz go wyśledzić, przeglądając zainstalowane oprogramowanie, jedynym wyjściem jest wybranie ciężkich narzędzi do audytu, takich jak WPR / WPA lub ProcessInternals, pozwól im robić swoje, a następnie powiązać wydarzenia z powrotem.

Może to być złośliwe: klasyczny atak typu man-in-the-middle polega na wysłaniu ARP, który twierdzi, że jest Alice, gdy naprawdę jesteś Bobem: wszyscy aktualizują swoją pamięć podręczną, a następnie wszyscy, którzy wysyłają do Alice, myślą, że z nią rozmawiają kiedy w rzeczywistości ich ruch dociera do Boba. Lub (w drugą stronę) ktoś włamuje się na twoją maszynę i ustawia statyczne ARP na „złe” cele.

Stara strategia pokonania pierwszego, btw, polega na ustawianiu statycznych wpisów ARP dla wszystkich lokalnych celów, z którymi chcesz rozmawiać. Po drugie, jeśli atakujący jest na twojej maszynie, jest już za późno.

Wpadłem na to kilka lat temu, kiedy zainstalowałem nadmiarowe zapory ogniowe dla klienta. Serwer 2003 miał zostać wycofany po zainstalowaniu nowego kontrolera domeny, więc wprowadziłem tymczasową poprawkę, aby zrzucać pamięć podręczną arp co 2 minuty. Po prostu użyłem harmonogramu zadań do uruchamiania „arp -d” co kilka minut, więc jeśli zapory przestawią obowiązki, DC nadal będzie miał dostęp do Internetu dla usług dns.