我最近收购了一台客户端,在其中一台服务器上有一个奇怪的ARPcaching问题。
我有一个服务器,最终将开始把它的dynamicARP条目变成静态ARP条目。 这会导致问题,因为当该服务器上有静态ARP条目的计算机通过DHCP接收到新的IP时,服务器将无法与客户端进行通信。 清除ARPcaching解决了这个问题,服务器一个星期左右就好了,然后开始缓慢地把ARP条目变成静态ARP条目。 我没有把它缩小到什么时候开始做什么,但是慢慢地,你开始看到1个静态ARP,然后是5个,然后是10个。
有问题的服务器是Windows Server 2003 SP2。 它是一个DC,DHCP和DNS服务器。 我已经检查了DHCP范围选项,并且没有任何内容会显示任何有关静态ARP条目的事情。 此DNS服务器和我们的其他DNS服务器之间唯一不同的是在有问题的服务器上检查“dynamic更新不请求更新的DHCP客户端的DNA A和PTRlogging”。
我已经做了一些关于这方面的研究,似乎这可能发生,如果任何PXEtypes的服务正在运行,从我可以告诉,没有任何运行PXE服务器。
我有点迷路,因为我从来没有见过dynamicARP条目开始变成静态ARP条目。 现在我的解决scheme是一个计划任务,每24小时运行一次,以清除ARPcaching(arp -d *)。 我不想依靠这个时间表任务。
有没有人看过这个或有任何build议如何解决这个问题?
这可能是良性的,或恶性的。 让我们期待良性:你的机器上有东西在运行,认为它比ARP更好,并且正在更新ARP表“手动”。 我怀疑像防火墙或其他端点保护types的程序,但如果你真的不能通过检查什么安装来追踪它,那么你唯一的办法是打破像WPR / WPA或ProcessInternals这样的重型审计工具,让他们做好自己的事情,然后再把事情联系起来。
这可能是恶意的:一个经典的中间人攻击是当你真的是Bob时发送一个声称是Alice的ARP:每个人都更新caching,然后每个发送给Alice的人都认为他们在跟她说话事实上他们的stream量正在去Bob。 或者(另一种方式)有人闯入你的机器,并设置“错误”目标的静态ARP。
顺便说一下,一个古老的策略,即顺便说一句,就是为所有要与之通话的本地目标设置静态ARP条目。 第二,如果攻击者在你的机器上,那就太迟了。
几年前,当我为客户端安装冗余防火墙时,我遇到了这个问题。 他们的2003服务器在新的DC安装完成后就被closures了,所以我暂时修复了每2分钟转储一次arpcaching的问题。 我只是使用任务计划程序每隔几分钟运行一次“arp -d”,所以如果防火墙切换责任,DC仍然可以访问dns服务的Internet。