Динамічні записи ARP, що перетворюються на статичні записи ARP

Нещодавно я придбав клієнта, який має дивну проблему кешування ARP на одному із своїх серверів.

У мене є сервер, який згодом почне перетворювати свої динамічні записи ARP в статичні записи ARP. Це спричиняє проблеми, оскільки коли машина, яка має статичні записи ARP на цьому сервері, отримує новий IP через DHCP, то сервер не може спілкуватися з клієнтами. Очищення кешу ARP вирішує проблему, і сервер працює близько тижня, а потім він починає повільно перетворювати записи ARP у статичні записи ARP. Я не звужував його до того, коли або скільки він починає робити, але повільно ви починаєте бачити 1 статичний ARP, а потім 5, а потім 10.

Розглянутий сервер - це Windows Server 2003 SP2. Це DC, DHCP і DNS-сервер. Я перевірив параметри області DHCP, і немає нічого, що вказувало б на що-небудь спільне зі статичними записами ARP. Єдине, що відрізняється між цим DNS-сервером та нашим іншим сервером DNS - це те, що "Динамічно оновити записи ДНК A та PTR для клієнтів DHCP, які не вимагають оновлення", перевіряється на проблемному сервері.

Я провів трохи досліджень з цього приводу і, здається, це може статися, якщо якісь служби типу PXE запущені, з того, що я можу сказати, на сервері PXE нічого не працює.

Я трохи розгублений, оскільки ніколи не бачив, щоб динамічні записи ARP починали перетворюватися на статичні записи ARP. Наразі моє рішення - це завдання з розкладом, яке виконується кожні 24 години, щоб очистити кеш ARP (arp -d *). Я хотів би не покладатися на це завдання графіка.

Хтось бачив це раніше чи має якісь пропозиції щодо вирішення цього питання?

Це може бути доброякісним або злоякісним. Будемо сподіватися на доброякісне: на вашій машині працює щось, що вважає, що воно знає краще, ніж ARP, і оновлює таблицю ARP «від руки». Я підозрюю, що щось подібне на брандмауер або інший тип захисту програм кінцевої точки, але якщо ви дійсно не можете його відстежити, переглянувши встановлене, то ваш єдиний звернення - це зламати важкі інструменти аудиту, такі як WPR / WPA або ProcessInternals, нехай вони зробіть свою справу, а потім зав’яжіть події назад.

Це може бути зловмисним: класична атака "середнього чоловіка" - це надіслати ARP, який претендує на Алісу, коли ти насправді Боб: усі оновлюють кеш, і відтоді всі, хто надсилає Алісу, думають, що вони розмовляють з нею коли насправді їхній рух йде до Боба. Або (іншим способом) хтось вривається у вашу машину і встановлює статичні ARP до "неправильних" цілей.

Стара стратегія перемоги над першою, btw, - це встановити статичні записи ARP для всіх локальних цілей, з якими ви хочете поговорити. По-друге, добре, якщо нападник на вашій машині, вже пізно.

Я зіткнувся з цим пару років тому, коли встановив зайві брандмауери для клієнта. Їхній сервер 2003 був відкликаний після встановлення нового постійного струму, тому я вводив тимчасове виправлення, щоб скидати кеш арпу кожні 2 хвилини. Я просто використовував планувальник завдань, щоб запускати "arp -d" кожні пару хвилин, тож якщо брандмауері перемикали обов'язки, DC все одно матиме доступ до Інтернету для служб dns.