Динамічні записи ARP, що перетворюються на статичні записи ARP


9

Нещодавно я придбав клієнта, який має дивну проблему кешування ARP на одному із своїх серверів.

У мене є сервер, який згодом почне перетворювати свої динамічні записи ARP в статичні записи ARP. Це спричиняє проблеми, оскільки коли машина, яка має статичні записи ARP на цьому сервері, отримує новий IP через DHCP, то сервер не може спілкуватися з клієнтами. Очищення кешу ARP вирішує проблему, і сервер працює близько тижня, а потім він починає повільно перетворювати записи ARP у статичні записи ARP. Я не звужував його до того, коли або скільки він починає робити, але повільно ви починаєте бачити 1 статичний ARP, а потім 5, а потім 10.

Розглянутий сервер - це Windows Server 2003 SP2. Це DC, DHCP і DNS-сервер. Я перевірив параметри області DHCP, і немає нічого, що вказувало б на що-небудь спільне зі статичними записами ARP. Єдине, що відрізняється між цим DNS-сервером та нашим іншим сервером DNS - це те, що "Динамічно оновити записи ДНК A та PTR для клієнтів DHCP, які не вимагають оновлення", перевіряється на проблемному сервері.

Я провів трохи досліджень з цього приводу і, здається, це може статися, якщо якісь служби типу PXE запущені, з того, що я можу сказати, на сервері PXE нічого не працює.

Я трохи розгублений, оскільки ніколи не бачив, щоб динамічні записи ARP починали перетворюватися на статичні записи ARP. Наразі моє рішення - це завдання з розкладом, яке виконується кожні 24 години, щоб очистити кеш ARP (arp -d *). Я хотів би не покладатися на це завдання графіка.

Хтось бачив це раніше чи має якісь пропозиції щодо вирішення цього питання?


3
Як ви визначаєте, що ці записи ARP є статичними? Також служби DC, DHCP і DNS безпосередньо не мають нічого спільного з функціями ARP або таблиці ARP.
joeqwerty

Чи не зберігаються записи ARP лише протягом обмеженого періоду часу, перш ніж вичерпано (20 хвилин?) Або замінено, коли виявлена ​​транзакція для того ж IP-адреси.
mdpc

@mdpc Так, якщо вони не є статичними, з чим у ОП є проблеми.
fukawi2

@joeqwerty - Використання arp -aв Windows докладно деталізує тип запису в таблиці ARP. Динамічні записи з часом перетворяться на статичні записи, для цього немає чіткого шаблону. Єдиний механізм, який я знаю, як створити статичний запис ARP, - це використовуватиarp -s ip_addr eth_addr
Зак

@Zach - Gotcha. Я хотів переконатися, що там ви їх бачили. Тим не менш, я раніше ніколи не бачив цих симптомів. Це статичні записи для адрес RFC 1918 (класи A, B і C), а не багатоадресні адреси (клас D), правда?
joeqwerty

Відповіді:


0

Це може бути доброякісним або злоякісним. Будемо сподіватися на доброякісне: на вашій машині працює щось, що вважає, що воно знає краще, ніж ARP, і оновлює таблицю ARP «від руки». Я підозрюю, що щось подібне на брандмауер або інший тип захисту програм кінцевої точки, але якщо ви дійсно не можете його відстежити, переглянувши встановлене, то ваш єдиний звернення - це зламати важкі інструменти аудиту, такі як WPR / WPA або ProcessInternals, нехай вони зробіть свою справу, а потім зав’яжіть події назад.

Це може бути зловмисним: класична атака "середнього чоловіка" - це надіслати ARP, який претендує на Алісу, коли ти насправді Боб: усі оновлюють кеш, і відтоді всі, хто надсилає Алісу, думають, що вони розмовляють з нею коли насправді їхній рух йде до Боба. Або (іншим способом) хтось вривається у вашу машину і встановлює статичні ARP до "неправильних" цілей.

Стара стратегія перемоги над першою, btw, - це встановити статичні записи ARP для всіх локальних цілей, з якими ви хочете поговорити. По-друге, добре, якщо нападник на вашій машині, вже пізно.


0

Я зіткнувся з цим пару років тому, коли встановив зайві брандмауери для клієнта. Їхній сервер 2003 був відкликаний після встановлення нового постійного струму, тому я вводив тимчасове виправлення, щоб скидати кеш арпу кожні 2 хвилини. Я просто використовував планувальник завдань, щоб запускати "arp -d" кожні пару хвилин, тож якщо брандмауері перемикали обов'язки, DC все одно матиме доступ до Інтернету для служб dns.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.